ID do comunicado vasco-sa-20160223-glibc
Número de revisão 1.0
Data de lançamento 23 de fevereiro de 2016 às 12:00 UTC + 1
Última atualização 23 de fevereiro de 2016 às 12:00 UTC + 1
Resumo
Na terça-feira, 16 de fevereiro de 2016, os engenheiros do Google publicaram uma postagem no blog sobre uma vulnerabilidade encontrada em todas as versões do glibc desde a versão 2.9. A postagem do blog explica que o resolvedor glibc DNS do lado do cliente é vulnerável a um estouro de buffer baseado em pilha quando a função da biblioteca getaddrinfo () é usada. O software que usa essa função pode ser explorado com nomes de domínio controlados por invasores, servidores DNS controlados por atacantes ou por meio de um ataque intermediário.
Produtos impactados
Os seguintes produtos são afetados pela vulnerabilidade CVE-2015-7547:
- Servidor de Federação IDENTIKEY 1.6
- Dispositivo IDENTIKEY 3.4.5.0 e posterior
- AXSGUARD Gatekeeper 7.7.0 e posterior
Embora a versão vulnerável do glibc seja usada nesses produtos, o OneSpan classifica a capacidade de exploração baixa devido à maneira como o resolvedor do lado do cliente DNS está sendo usado nos produtos.
Descrição
A seguinte descrição de vulnerabilidade é extraída do Banco de Dados Nacional de Vulnerabilidades do NIST:
“Vários estouros de buffer baseados em pilha nas funções (1) send_dg e (2) send_vc na biblioteca libresolv na biblioteca GNU C Library (também conhecida como glibc ou libc6)) antes da 2.23 permitem que atacantes remotos causem uma negação de serviço (falha) ou possivelmente executar código arbitrário por meio de uma resposta DNS criada que aciona uma chamada para a função getaddrinfo com a família de endereços AF_UNSPEC ou AF_INET6, relacionada à execução de "consultas DNS A / AAAA duplas" e ao módulo NSS libnss_dns.so.2. "
Pontuação de gravidade
A tabela abaixo indica a pontuação de vulnerabilidade CVSS 2.0 da vulnerabilidade CVE-2015-7547.
| Pontuação Base CVSS: 6.8 (médio) | |||||
| Vetor de acesso | Complexidade de acesso | Autenticação | Impacto da confidencialidade | Impacto na integridade | Impacto na disponibilidade |
| Rede | Médio | Nenhum | Parcial | Parcial | Parcial |
Correções do produto
O OneSpan corrigirá a vulnerabilidade CVE-2015-7547 nos seguintes próximos lançamentos:
- Servidor de Federação IDENTIKEY 1.6.1 (a ser lançado no primeiro trimestre de 2016)
- Dispositivo IDENTIKEY (Virtual) 3.10.11.0 (a ser lançado no segundo trimestre de 2016)
- AXSGUARD GateKeeper 8.2.1 (a ser lançado no segundo trimestre de 2016)
O OneSpan recomenda que os clientes que usam o servidor de autenticação IDENTIKEY atualizem a biblioteca glibc usando o sistema de atualização de sua distribuição.
Localização
Para produtos aXsGUARD Gatekeeper:
- O OneSpan implantará patches por meio do serviço de atualização automatizada. Os clientes que não permitirem que seu sistema receba atualizações por meio deste serviço devem entrar em contato com a OneSpan para obter instruções sobre como obter o patch.
Para outros produtos:
- Os clientes com um contrato de manutenção podem obter lançamentos fixos de produtos do MyMaintenance. Clientes sem contrato de manutenção devem entrar em contato com o representante de vendas local.
Referência
Recursos adicionais:
- CVE-2015-7547
- Blog de segurança online do Google
Contrato
Embora todo esforço razoável seja feito para processar e fornecer informações precisas, todo o conteúdo e as informações contidas neste documento são fornecidos "no estado em que se encontram" e "conforme disponível", sem qualquer representação ou endosso e sem garantia expressa ou implícita, COMPETÊNCIA OU ADEQUAÇÃO, OU QUALQUER GARANTIA, INCLUINDO AS GARANTIAS DE COMERCIALIZAÇÃO OU ADEQUAÇÃO A UM USO OU FINS ESPECÍFICOS. A UTILIZAÇÃO DESTE DOCUMENTO, QUALQUER INFORMAÇÃO FORNECIDA OU MATERIAIS LIGADOS DESTE DOCUMENTO É POR SUA CONTA E RISCO. A VASCO RESERVA-SE O DIREITO DE ALTERAR OU ATUALIZAR AS INFORMAÇÕES DESTE DOCUMENTO A QUALQUER MOMENTO E A SEU DISCRETO, E QUANDO SE TIVER DISPONIBILIDADE DE INFORMAÇÕES NOVAS OU ADICIONAIS. Copyright © 2016 VASCO Data Security, Inc., VASCO Data Security International GmbH. Todos os direitos reservados.