ID do comunicado vasco-sa-20150202-ghost
Número de revisão 1.0
Data de lançamento 4 de fevereiro de 2015 13:50 UTC + 1
Última atualização 4 de fevereiro de 2015 13:50 UTC + 1
Resumo
Em 27 de janeiro de 2015, os pesquisadores de segurança da Qualys anunciaram publicamente uma vulnerabilidade na biblioteca GNU C, conhecida como glibc. A vulnerabilidade, geralmente chamada de GHOST, pode permitir que um invasor não autenticado, local ou remoto assuma o controle dos sistemas. A primeira versão vulnerável da GNU C Library é a glibc-2.2, lançada em 10 de novembro de 2000.
Produtos impactados
Os seguintes produtos são afetados pela vulnerabilidade GHOST:
- Servidor de Federação IDENTIKEY 1.4, 1.5
- Dispositivo IDENTIKEY (todas as versões)
- Gatekeeper aXsGUARD (todas as versões)
Descrição
A biblioteca GNU C glibc é a implementação da biblioteca padrão da linguagem de programação C pelo Projeto GNU. A biblioteca padrão C fornece funções básicas para interação com serviços do sistema operacional, processamento de entrada / saída, alocação de memória e outros tipos de funções.
A biblioteca GNU C contém uma função chamada __nss_hostname_digits_dots (), que é usada pelas funções gethostbyname () e gethostbyname2 (). As duas últimas funções permitem que os aplicativos resolvam consultas DNS.
A função __nss_hostname_digits_dots () contém um estouro de buffer baseado em heap. Um invasor local ou remoto pode usar esta vulnerabilidade para executar código arbitrário com as permissões do usuário que está executando o aplicativo.
No entanto, as funções gethostbyname () e gethostbyname2 () foram descontinuadas por aproximadamente quinze anos, principalmente devido à falta de suporte ao IPv6.
A vulnerabilidade é geralmente chamada de GHOST, e foi atribuída a ID de Vulnerabilidades e Exposições Comuns (CVE) CVE-2015-0235.
Pontuação de gravidade
A tabela abaixo indica a pontuação de vulnerabilidade do CVSS 2.0 das várias vulnerabilidades.
|
Pontuação Base CVSS: 10.0 |
|||||
| Vetor de acesso |
Complexidade de acesso |
Autenticação | Impacto da confidencialidade | Impacto na integridade | Impacto na disponibilidade |
| Rede | Baixo | Nenhum | Completo | Completo | Completo |
Correções do produto
O OneSpan lançará os seguintes patches:
- Servidor de Federação IDENTIKEY 1.4.5 e 1.5.4 em 6 de fevereiro de 2015
- IDENTIKEY Appliance 3.8.9.0 em abril de 2015
- Para aXsGUARD Gatekeeper 8.1.0: Hotfix 001 em 6 de fevereiro de 2015
O OneSpan recomenda que os clientes que usam o Servidor de autenticação IDENTIKEY 3.4 SR1 e 3.5 atualizem para a versão 3.6. O OneSpan recomenda que os clientes que usam o IDENTIKEY Authentication Server 3.6 atualizem a biblioteca glibc usando o sistema de atualização de sua distribuição.
Localização
Para produtos aXsGUARD Gatekeeper:
O OneSpan implantará patches por meio do serviço de atualização automatizada. Os clientes que não permitirem que seu sistema seja atualizado por meio deste serviço devem entrar em contato com a OneSpan para obter instruções sobre como obter o patch.
Para outros produtos
Os clientes com um contrato de manutenção podem obter versões fixas do produto no MyMaintenance. Clientes sem contrato de manutenção devem entrar em contato com o representante de vendas local.
Referência
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0235
Contrato
Embora todo esforço razoável seja feito para processar e fornecer informações precisas, todo o conteúdo e as informações contidas neste documento são fornecidos "no estado em que se encontram" e "conforme disponível", sem qualquer representação ou endosso e sem garantia expressa ou implícita, COMPETÊNCIA OU ADEQUAÇÃO, OU QUALQUER GARANTIA, INCLUINDO AS GARANTIAS DE COMERCIALIZAÇÃO OU ADEQUAÇÃO A UM USO OU FINS ESPECÍFICOS. A UTILIZAÇÃO DESTE DOCUMENTO, QUALQUER INFORMAÇÃO FORNECIDA OU MATERIAIS LIGADOS DESTE DOCUMENTO É POR SUA CONTA E RISCO. A VASCO RESERVA-SE O DIREITO DE ALTERAR OU ATUALIZAR AS INFORMAÇÕES DESTE DOCUMENTO A QUALQUER MOMENTO E A SEU DISCRETO, E QUANDO SE TIVER DISPONIBILIDADE DE INFORMAÇÕES NOVAS OU ADICIONAIS.
Direitos autorais © 2015 VASCO Data Security, Inc., VASCO Data Security International GmbH. Todos os direitos reservados.