Glibc ghost(CVE-2015-0235)漏洞简要分析及检测

最新推荐文章于 2023-07-06 20:42:16 发布
最新推荐文章于 2023-07-06 20:42:16 发布
阅读量4.2k 收藏 1
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 漏洞分析 文章标签: glibc Ghost 远程代码执行
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wuyangbotianshi/article/details/44341049
本文详细介绍了Glibc Ghost漏洞(CVE-2015-0235)的原理,包括如何通过gethostbyname*()函数触发本地或远程的缓冲区溢出。分析了漏洞修复的方法,并探讨了多种利用场景,如WordPress的xmlrpc pingback、iputils工具集中的clockdiff和tracepath,以及Exim邮件服务器。同时,提供了Snort检测规则以防止此类攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.漏洞简介

代码审计公司Qualys的研究人员在glibc库中的__nss_hostname_digits_dots()函数中发现了一个缓冲区溢出的漏洞,这个bug可以经过gethostbyname*()函数被本地或者远程的触发。应用程序主要使用gethostbyname*()函数发起DNS请求,这个函数会将主机名称转换为ip地址。

2.POC验证

测试漏洞的POC来自http://www.openwall.com/lists/oss-security/2015/01/27/9的第4节,主要代码如下,原理是通过调用gethostbyname_r函数,关键参数为temp和name。拿64位系统举例,如果经过gethostbyname_r的调用刚好能够覆盖temp.buffer的1024个字节,那么temp.canary就不会变,则glibc库没有该漏洞,但是如果temp.canary的前8字节被覆盖为0则说明漏洞存在:

#define CANARY "in_the_coal_mine"

struct {
  char buffer[1024];
  char canary[sizeof(CANARY)];
} temp = { "buffer", CANARY };

int main(void) {
  ... ...
  size_t len = sizeof(temp.buffer) - 16*sizeof(unsigned char) - 2*sizeof(char *) - 1;
  char name[sizeof(temp.buffer)];
  memset(name, '0', len);
  name[len] = '\0';

  retval = gethostbyname_r(name, &resbuf, temp.buffer, sizeof(temp.buffer), &result, &herrno);

  if (strcmp(temp.canary, CANARY) != 0) {
    puts("vulnerable");
    exit(EXIT_SUCCESS);
  }
  ... ...
}

POC运行成功:

这里写图片描述

3.漏洞原理与修复分析

漏洞原理

有漏洞的函数是nss/digits_dots.c中的__nss_hostname_digits_dots函数,而这个函数只有在nss/getXXbyYY.c和nss/getXXbyYY_r.c中被用到,且仅当定义了HANDLE_DIGITS_DOTS宏时才会被调用,这个宏则是定义在inet目录中的gethstbynm系列文件中,因此仅当调用gethostbyname*系列函数时会被调用:

#ifdef HANDLE_DIGITS_DOTS
  switch (__nss_hostname_digits_dots (name, resbuf, &buffer, NULL,
                      buflen, result, &status, AF_VAL,
                      H_ERRNO_VAR_P))
    {
    case -1:
      return errno;
    case 1:
      goto done;
    }
#endif

下面来进入__nss_hostname_digits_dots函数分析:

int
__nss_hostname_digits_dots (const char *name, struct hostent *resbuf,
                char **buffer, size_t *buffer_size,
                size_t buflen, struct hostent **result,
                enum nss_status *status, int af, int *h_errnop)
{
  ... ...
  if (isdigit (name[0]) || isxdigit (name[0]) || name[0] == ':')
    {
      const char *cp;
      char *hostname;
      typedef unsigned char host_addr_t[16];
      host_addr_t *host_addr;
      typedef char *host_addr_list_t[2];
      host_addr_list_t *h_addr_ptrs;
      char **h_alias_ptr;
      size_t size_needed;
      int addr_size;

  ... ...
      size_needed = (sizeof (*host_addr)
             + sizeof (*h_addr_ptrs) + strlen (name) + 1);

      if (buffer_size == NULL)
        {
      if (buflen < size_needed)
        {
          if (h_errnop != NULL)
        *h_errnop = TRY_AGAIN;
          __set_errno (ERANGE);
          goto done;
        }
    }
      else if (buffer_size != NULL && *buffer_size < size_needed)
    {
      char *new_buf;
      *buffer_size = size_needed;
      new_buf = (char *) realloc (*buffer, *buffer_size);

      if (new_buf == NULL)
        {
          ... ...
          goto done;
        }
      *buffer = new_buf;
    }

      memset (*buffer, '\0', size_needed);

      host_addr = (host_addr_t *) *buffer;
      h_addr_ptrs = (host_addr_list_t *)
    ((char *) host_addr + sizeof (*host_addr));
      h_alias_ptr = (char **) ((char *) h_addr_ptrs + sizeof (*h_addr_ptrs));
      hostname = (char *) h_alias_ptr + sizeof (*h_alias_ptr);

      if (isdigit (name[0]))
    {
      for (cp = name;; ++cp)
        {
          if (*cp == '\0')
        {
          int ok;

          if (*--cp == '.')
            break;
          if (af == AF_INET)
            ok = __inet_aton (name, (struct in_addr *) host_addr);
          else
            {
              assert (af == AF_INET6);
              ok = inet_pton (af, name, host_addr) > 0;
            }
          if (! ok)
            {
              *h_errnop = HOST_NOT_FOUND;
              if (buffer_size)
            *result = NULL;
              goto done;
            }
        }
          ... ...
          resbuf->h_name = strcpy (hostname, name);
          h_alias_ptr[0] = NULL;
          resbuf->h_aliases = h_alias_ptr;
          (*h_addr_ptrs)[0] = (char *) host_addr;
最低0.47元/天 解锁文章

200万优质内容无限畅学
cve-2015-0235 rhel4 幽灵漏洞
02-04
cve-2015-0235 rhel4x32 补丁包
ghost:glibc 漏洞 GHOST(CVE-2015-0235) 受影响软件列表
06-28
glibc 漏洞 GHOST(CVE-2015-0235) 受影响软件列表
Linux漏洞分析入门笔记-CVE-2015-0235
weixin_30483013的博客
01-04 278
Ubuntu 12.04 32位 ida 7.0 0x00:漏洞描述 1.glibc的__nss_hostname_digits_dots存在缓冲区溢出漏洞,导致使用gethostbyname系列函数的某些软件存在代码执行或者信息泄露的安全风险。 通过gethostbyname()函数或gethostbyname2()函数,将可能产生一个堆上的缓冲区溢出。经由gethostbyname_r...
GHost漏洞CVE-2015-0235
公众号shadow sock7
04-10 1768
来源:https://www.openwall.com/lists/oss-security/2015/01/27/9 https://nvd.nist.gov/vuln/detail/CVE-2015-0235 参考: 如何检查并修复GHOST(CVE-2015-0235)漏洞 Linux GHOST vulnerability (CVE-2015-0235) is not as scary a...
CVE-2015-0235:Linux Glibc幽灵漏洞允许黑客远程获取系统权限
收集盒 Book box
01-28 1502
来源:360播报 幽灵漏洞是Linux glibc库上出现的一个严重的安全问题,他可以让攻击者在不了解系统的任何情况下远程获取操作系统的控制权限。目前他的CVE编号为CVE-2015-0235。 什么是glibc glibc是GNU发布的libc库,即c运行库。glibc是linux系统中最底层的api,几乎其它任何运行库都会依赖于glibcglibc除了封
glibc幽灵漏洞(CVE-2015-0235)升级glibc(linux5.X)
01-29
linux5.X 用于处理glibc幽灵漏洞(CVE-2015-0235)glibc-2.5-123.0.1.el5_11.1.i686.rpm;glibc-2.5-123.0.1.el5_11.1.x86_64.rpm;glibc-common-2.5-123.0.1.el5_11.1.x86_64.rpm等等
GHOST(CVE-2015-0235)漏洞影响软件清单公布
资源摘要信息:"Glibc 漏洞 GHOST(CVE-2015-0235) 是指在广泛使用的 GNU C 库(glibc)中发现的一个安全漏洞。该漏洞的编号为 CVE-2015-0235,也被称为 GHOST 漏洞。这个漏洞存在于 glibc 的 gethostbyname* 系列函数...
GHOST漏洞检测实践手册:CVE-2015-0235漏洞测试教程
资源摘要信息: "CVE-2015-0235-cookbook是一个专门用于测试系统是否容易受到CVE-2015-0235安全漏洞影响的脚本。该漏洞被称为GHOST,影响了Linux系统中广泛使用的glibc组件。该漏洞使得攻击者可以通过特定的条件触发...
CVE-2015-0235:幽灵(GHOST)漏洞解析
刘书的IT博客
02-15 3719
0x01 摘要 Qualys公司在进行内部代码审核时,发现了一个在GNU C库(glibc)中存在的__nss_hostname_digits_dots函数导致的缓冲区溢出漏洞。这个bug可达可以通过gethostbyname *()函数来触发,本地和远程均可行。鉴于它的影响,我们决定仔细分析它。分析完成后,我们也决定以“幽灵”(GHOST)命名此漏洞。 我们的分析过程中得出的主要结论
CVE-2015-0235
"杰"出虚拟平台-数据运维~~
02-04 1212
glibc vulnerability (CVE-2015-0235) patch availability for Oracle Exadata Database Machine (文档 ID 1965525.1) 转到底部 1       APPLIES TO: Oracle Exadata Storag
危险!Linux GlibcGhost幽灵漏洞.pdf
09-06
危险!Linux GlibcGhost幽灵漏洞.pdf
linux 幽灵漏洞,CVE-2015-0235:Linux Glibc幽灵漏洞分析 V1.0
weixin_30699957的博客
05-17 586
CVE-2015-0235:Linux Glibc幽灵漏洞分析 V1.02015-01-28 12:06:44阅读:0次漏洞描述:glibc的__nss_hostname_digits_dots存在缓冲区溢出漏洞,导致使用gethostbyname系列函数的某些软件存在命令执行或者信息泄露的安全风险。原因:glibc\nss\digits_dots.c 的__nss_hostname_digits...
CVE-2015-0235复现分析
xiaoguaishou_2的博客
07-06 1471
2015年1月28日互联网上爆出Linux glibc幽灵漏洞glibc gethostbyname buffer overflow),也有人将其称之为“20150127GHOST gethostbyname() heap overflow in glibc”,在CVE上的漏洞编号是CVE-2015-0235
linux 溢出漏洞,Linux-glibc溢出漏洞(CVE-2015-0235)
weixin_32596769的博客
05-16 373
漏洞说明由于glibc 2.18之前版本中有函数存在溢出漏洞,当有程序调用gethostbyname*()时,有可能会被利用触发执行当前用户权限的任意代码。受影响的Linux版本比较多,如Centos 6、Ubuntu 12等版本。漏洞影响范围比较大,但想利用漏洞相对是比较困难,前提是有程序调用以上函数被触发或有权限去执行。不过如果检测存在漏洞还是建议大家进行修复,可以使用下面程序进行检测漏洞检...
GHOST幽灵漏洞
php_thinker的专栏
03-19 658
vi ghost.c    #include     #include     #include     #include     #include     #define CANARY "in_the_coal_mine"     struct {     char buffer[1024];     char canary[sizeof(CANARY)
GHOST: glibc vulnerability (CVE-2015-0235)#GHOST(幽灵)漏洞修复
Linuxer's Blog Data
01-29 1284
写在前面:     此文档适用于使用脚本批量修复服务器节点。     适用系统:CentOS 6.5 x86_64 (basic server)     更多系统修复方式,请查看文章结尾      使用离线方式(rpm包)修复漏洞 Test case: 1、编写测试程序 # /home/update_glibc_packages/ghost_test.c #inclu
CVE-2015-0235 实验记录
"杰"出虚拟平台-数据运维~~
02-27 1332
一体机&linux 服务器漏洞分析修补!LINUX: 5.X 64 cell storage: 11.2.3.1.1
Linux glibc幽灵(GHOST漏洞检测及修复方案
TURING.DT
04-13 944
安全研究人员近日曝出一个名为幽灵(GHOST)的严重安全漏洞,这个漏洞可以允许攻击者远程获取操作系统的最高控制权限,影响市面上大量Linux操作系统及其发行版。该漏洞CVE编号为CVE-2015-0235。   什么是glibc   glibc是GNU发布的libc库,即c运行库。glibc是linux系统中最底层的api,几乎其它任何运行库都会依赖于glibcglibc除了封装linu
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值