Odkryto poważny błąd w bibliotece glibc (GNU C Library), czyli najpopularniejszej biblioteki języka C używanej od lat przez programistów na całym świecie. Błąd występuje we wszystkich wersjach biblioteki od 2.9 wzwyż, czyli wszystkich udostępnionych od listopada 2008 roku. Przez lata luka zagrażająca bezpieczeństwu programów pozostawała niezauważona – lub była wykorzystywana przez hakerów, jednak nikt o tym nie wiedział.

Błąd wiąże się z nieprawidłowym działaniem funkcji getaddrinfo() odpowiadającej za pobieranie informacji o adresie z serwera DNS. Jeżeli program używający tej funkcji skontaktuje się z “podstawionym” serwerem DNS, spreparowaną witryną internetową, czy też otrzyma błędną odpowiedź za pomocą ataku typu man-in-the-middle, to dochodzi do przepełnienia bufora, które może zostać wykorzystane przez hakerów do przeprowadzenia ataku.

Z użyciem wadliwych bibliotek glibc skompilowano miliony programów, w tym praktycznie wszystkie dystrybucje Linuxa. Problem dotyczy oprogramowania dla komputerów domowych, serwerów, stacji roboczych, urządzeń sieciowych czy nawet gadżetów internetu rzeczy. Zwłaszcza dla tych ostatnich błąd może być niebezpieczny, ponieważ ze względu na oszczędność pamięci i cykli procesora często pozbawione są one zabezpieczeń mogących utrudnić hakerom wykorzystanie luki w funkcji getaddrinfo(). W ten sposób mogą one stać się dla hakerów wrotami do naszej domowej sieci.

Błąd naprawiono już m.in. dzięki współpracy firm Google i Red Hat, które niezależnie od siebie odkryły lukę w zabezpieczeniach. Ta pierwsza na pewno cieszy się obecnie, że w systemie Android, zamiast glibc użyła konkurencyjnych bibliotek Bionic. O ile luka została już załatana, to należy pamiętać o tym, że wiele programów skompilowanych z użyciem wadliwej biblioteki trzeba będzie zaktualizować, a wiele kolejnych… nigdy nie zostanie zaktualizowanych. Ten ostatni problem dotyczy zwłaszcza programów typu closed source, czyli takich, których kod źródłowy nie jest publicznie dostępny, przez co nie możemy ich na nowo skompilować sami.

[źródło i grafika: arstechnica.com]

    Spodobał Ci się ten artykuł? Podaj dalej!