Glibc GHOST уязвимость в продуктах OneSpan

Консультативный ID Васко-са-20150202-призрак

Номер ревизии 1,0

Дата выпуска 04 февраля 2015 13:50 UTC + 1

Последнее обновление 04 февраля 2015 13:50 UTC + 1

Резюме

27 января 2015 года исследователи безопасности из Qualys публично объявили об уязвимости в библиотеке GNU C, известной как glibc. Уязвимость, которую обычно называют GHOST, может позволить неаутентифицированному, локальному или удаленному злоумышленнику получить контроль над системами. Первая уязвимая версия библиотеки GNU C - это glibc-2.2, выпущенная 10 ноября 2000 года.

Затронутые продукты

Следующие продукты подвержены уязвимости GHOST:

  • IDENTIKEY Федерация Сервер 1.4, 1.5
  • IDENTIKEY Appliance (все версии)
  • aXsGUARD Gatekeeper (все версии)

Описание

Библиотека GNU C glibc - это реализация стандартной библиотеки языка C в проекте GNU. Стандартная библиотека C предоставляет основные функции для взаимодействия со службами операционной системы, обработки ввода-вывода, распределения памяти и других типов функций.

Библиотека GNU C содержит функцию с именем __nss_hostname_digits_dots (), которая используется функциями gethostbyname () и gethostbyname2 (). Две последние функции позволяют приложениям разрешать запросы DNS.

Функция __nss_hostname_digits_dots () содержит переполнение буфера на основе кучи. Локальный или удаленный злоумышленник может использовать эту уязвимость для выполнения произвольного кода с разрешениями пользователя, запускающего приложение.

Однако функции gethostbyname () и gethostbyname2 () устарели в течение примерно пятнадцати лет, в основном из-за отсутствия поддержки IPv6.

Уязвимость обычно называется GHOST, и ей присваивается общий идентификатор уязвимости и уязвимости (CVE) CVE-2015-0235.

Оценка серьезности

В приведенной ниже таблице указаны оценки уязвимости CVSS 2.0 для различных уязвимостей.
 

Базовая оценка CVSS: 10,0

Вектор доступа

Сложность доступа

Аутентификация Влияние на конфиденциальность Влияние целостности Влияние доступности
сеть Низкий Никто полный полный полный

 

Исправления продукта

OneSpan выпустит следующие патчи:

  • Сервер федерации IDENTIKEY 1.4.5 и 1.5.4 6 февраля 2015 г.
  • Устройство IDENTIKEY 3.8.9.0 в апреле 2015 г.
  • Для aXsGUARD Gatekeeper 8.1.0: исправление 001 от 6 февраля 2015 г.

OneSpan рекомендует пользователям для аутентификации использовать IDENTIKEY Authentication Server 3.4 SR1 и 3.5 для обновления до версии 3.6. OneSpan рекомендует клиентам, использующим IDENTIKEY Authentication Server 3.6 для аутентификации, обновить библиотеку glibc, используя систему обновления своего дистрибутива.

Место расположения

Для продуктов aXsGUARD Gatekeeper:

OneSpan развернет исправления через службу автоматического обновления. Клиенты, которые не позволяют своей системе получать обновления через эту службу, должны связаться с OneSpan для получения инструкций о том, как получить исправление.

Для других продуктов

Клиенты с контрактом на техническое обслуживание могут получить фиксированные выпуски продуктов от MyMaintenance. Клиенты без контракта на техническое обслуживание должны связаться с местным торговым представителем.

Ссылка

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0235

Правовая оговорка

В то время как КАЖДЫЙ РАЗУМНЫЙ УСИЛИЯ СДЕЛАН ДЛЯ ОБРАБОТКИ И ПРЕДОСТАВЛЕНИЯ ТОЧНОЙ ИНФОРМАЦИИ, ВСЕ СОДЕРЖАНИЕ И ИНФОРМАЦИЯ В НАСТОЯЩЕМ ДОКУМЕНТЕ ПРЕДОСТАВЛЯЕТСЯ «КАК ЕСТЬ» И «КАК ДОСТУПНО», БЕЗ КАКИХ-ЛИБО ПРЕДСТАВЛЕНИЯ ИЛИ ПРИГОДНОСТИ ИЛИ В СООТВЕТСТВИИ С ИСПОЛЬЗОВАНИЕМ НИКАКОГО СРОКА ПОЛНОСТЬЮ ИЛИ ПОДХОДА ИЛИ ЛЮБОЙ ГАРАНТИИ, ВКЛЮЧАЯ ГАРАНТИИ ТОВАРНОГО ОБЕСПЕЧЕНИЯ ИЛИ ПРИГОДНОСТИ ДЛЯ ОСОБЕННОГО ИСПОЛЬЗОВАНИЯ ИЛИ ЦЕЛИ. ВЫ ИСПОЛЬЗУЕТЕ ЭТОТ ДОКУМЕНТ, ПРЕДОСТАВЛЯЕТСЯ ЛЮБАЯ ИНФОРМАЦИЯ ИЛИ МАТЕРИАЛЫ, СВЯЗАННЫЕ С ЭТОМ ДОКУМЕНТОМ, НА СВОЙ СТРАХ И РИСК. VASCO оставляет за собой право изменять или обновлять информацию в этом документе в любое время и по своему усмотрению, а также когда новая или дополнительная информация становится доступной.

Copyright © 2015 VASCO Data Security, Inc., VASCO Data Security International GmbH. Все права защищены.

🖨 glibc GHOST уязвимость в продуктах OneSpan