Vulnerabilità critica su Glibc mette a rischio sistemi Linux: rilasciato il fix

Glibc, la stessa libreria GNU C alla base della vulnerabilità GHOST scoperta l'anno scorso, è potenzialmente suscettibile ad un'altra falla critica che coinvolge quasi tutte le macchine basate su Linux ed anche alcuni framework di rete dove viene usato il codice. Vecchia e attiva da parecchi anni, la vulnerabilità è stata scoperta da Google e Red Hat e divulgata solamente lo scorso martedì dopo essere stata corretta. Al momento in cui scriviamo è infatti disponibile una patch correttiva.

La falla è stata introdotta nel 2008 all'interno della libreria GNU C, collezione di codici open-source utilizzati in svariate applicazioni stand-alone e da parecchie distribuzioni di Linux, incluse quelle pensate per soluzioni embedded o router. Una delle funzioni utili per il lookup di DNS e nomi dominio contiene un bug di buffer overflow il quale consente ad aggressori esterni di eseguire codice malevolo in situazioni determinate e circoscritte. L'exploit può essere eseguito quando sistemi o app affetti dal bug sono vittime di attacchi man-in-the-middle o eseguono ricerche su domini o DNS controllati dall'aggressore.

I maintainer di glibc hanno già rilasciato una patch che corregge la vulnerabilità e le operazioni di aggiornamento per chi gestisce hardware o software basati su Linux sono di fatto estremamente consigliate. Ma se per i gestori di server Linux l'aggiornamento richiede la semplice installazione del pacchetto, la situazione potrebbe non essere così immediata per altri tipi di utenti che usano applicazioni o servizi attualmente affetti dal bug. Questi infatti devono attendere che le singole app vengano ricompilate con le nuove glibc aggiornate, processo che potrebbe non essere così rapido e che dipende dagli sviluppatori di applicazioni e dai produttori hardware.

In attesa degli aggiornamenti i gestori di sistemi potenzialmente a rischio possono proteggersi con una procedura assolutamente temporanea che Google ha specificato nelle scorse ore: "La vulnerabilità si basa su una risposta UDP o TCP sovradimensionata (2048 o più byte). Il nostro suggerimento per mitigare il problema è quello di limitare la risposta (con DNSMasq o programmi simili) a dimensioni accettate dal resolver DNS a livello locale e assicurarsi che le query DNS vengano inviate solo a server DNS che limitano le dimensioni di risposta UDP".

Il bug è presente nella versione gblic 2.9 rilasciata nel mese di maggio del 2008, ma è stato scoperto e riportato ai maintainer solo lo scorso mese di luglio. In base a quanto è possibile leggere dai documenti rilasciati pubblicamente, sembra che la falla non sia mai stata sfruttata pubblicamente. Adesso che è stata resa pubblica, tuttavia, l'aggiornamento è assolutamente consigliato visto che eventuali aggressori potrebbero prendere di mira i sistemi ancora vulnerabili. L'attacco però non è dei più semplici.

Google ha infatti commentato che "l'esecuzione di codice da remoto è possibile, ma non è così semplice. Per farlo è necessario ad esempio bypassare le soluzioni di sicurezza presenti sul sistema, come ad esempio ASLR". Ricordiamo che Android è basato su Linux ma non utilizza glibc, ma un sostituto chiamato Bionic. Il sistema operativo del robottino verde è quindi di fatto invulnerabile e assolutamente esterno alla falla di sicurezza. Maggiori informazioni possono essere trovate a questo indirizzo.