思科的安全情報研究團隊Talos Group指出，Qualys日前所揭露的Ghost漏洞允許駭客自遠端執(zhí)行任意程式，雖然是個重大漏洞，但是其實并沒那麼可怕

　　CTI論壇(ctiforum)2月9日消息（記者 李文杰):網(wǎng)絡(luò)安全暨漏洞管理業(yè)者Qualys于1月27日揭露Linux漏洞「Ghost」（CVE-2015-0235），受影響的Linux版本有Debian 7、Red Hat Enterprise Linux 6/7（RHEL 6/7）、CentOS 6/7及Ubuntu 12.04等。不過這些業(yè)者都已經(jīng)陸續(xù)同步更新受影響的作業(yè)系統(tǒng)。

　　Ghost漏洞屬于緩沖區(qū)溢位（Buffer Overflow）的攻擊手法，發(fā)生在Linux核心glibc程式庫中g(shù)ethostbyname（）與gethostbyname2（）的函式，只要執(zhí)行這2個函式都有可能會觸發(fā)Ghost漏洞，且允許遠端駭客可以遠程呼叫這些函數(shù)，取得該應(yīng)用程式的使用者身份，并可以執(zhí)行任意程式碼。

　　而gethostbyname（）函式用途為DNS解析，當系統(tǒng)有此弱點時，駭客就可以在程式執(zhí)行名稱解析的時候，提供不正確的參數(shù)，以此來觸發(fā)緩沖區(qū)溢位的漏洞。

　　臺灣企業(yè)尚無災(zāi)情，紅帽已通知主要客戶

　　受Ghost漏洞影響的廠商紅帽（Red Hat），在1月27日和28日陸續(xù)釋出修補受Ghost漏洞影響的RHEL作業(yè)系統(tǒng)，以供用戶盡快修補。

　　此外，紅帽也已通過郵件方式來通知臺灣用戶，臺灣用戶也可以通過紅帽勘誤通知（Red Hat Errata Notification）或紅帽通知和公告網(wǎng)站獲取資安訊息通知。

　　臺灣紅帽表示，目前臺灣尚未接獲受Ghost漏洞影響的企業(yè)，但還是呼吁用戶盡速修補套件。

　　紅帽進一步解釋，為了杜絕漏洞，需要重新啟動有使用glibc的服務(wù)，而有監(jiān)于glibc的應(yīng)用范圍廣泛，建議使用者重啟系統(tǒng)，不過，使用者更新套件時不需要重新開機。

　　Ghost漏洞真的很可怕？

　　思科的安全情報研究團隊Talos Group指出，Qualys日前所揭露的Ghost漏洞允許駭客自遠端執(zhí)行任意程式，雖然是個重大漏洞，但是其實并沒那麼可怕。

　　該漏洞出現(xiàn)在GNU C函式庫（glibc）中將主機名稱轉(zhuǎn)為IP位址的GetHOST功能，因此被簡稱為Ghost。

　　Qualys在__nss_hostname_digits_dots（）發(fā)現(xiàn)一個緩沖區(qū)溢位漏洞，不論是執(zhí)行g(shù)ethostbyname（）或gethostbyname2（）功能都有可能觸發(fā)該漏洞，允許遠端駭客執(zhí)行任意程式并掌控系統(tǒng)。

　　不過，Talos Group認為此一重大漏洞并沒有那麼可怕。其中一個原因是這兩項功能因未支持IPv6，所以約在15年前就日漸被淘汰，支持IPv6且用來替代上述功能的getaddrinfo（）并不存在該漏洞。

　　其次是必須要接受以主機的名稱輸入，并且仍然使用gethostbyname（）或gethostbyname2（）功能的應(yīng)用程式才可能被攻擊。

　　再者，相關(guān)功能限制了可使用的主機名稱格式，除了要求主機名稱只能由數(shù)字與「。（dot）」組成之外，也要求主機名稱的第一個字元必須是「�！�，但最后一個字元不能是「�！梗�很少有應(yīng)用程式接受這種資料格式的輸入。

　　Talos Group表示，即使這是一個允許遠端程式攻擊的漏洞，但其限制降低了它的威脅性，駭客必須使用gethostbyname（）或gethostbyname2（）的其中一項功能，還得符合奇怪的規(guī)則，在實際場景最有可能發(fā)生的結(jié)果是造成記憶體區(qū)段錯誤而非遠端程式攻擊。

　　目前Talos Group并未發(fā)現(xiàn)任何針對該漏洞的攻擊報告，但預(yù)期在業(yè)者把相關(guān)漏洞的概念性驗證程式加至Metasploit滲透工具包之后情況可能就會有所改變。