Wat is de GHOST exploit?

Op 27 januari 2015 werd vrijgegeven dat er in de glibc een buffer overflow bug zit in de gethostbyname() functies (vandaar de naam GHOST).
Net zoals Shellshock of Heartbleed gaat het om een kritische bug en is de impact op Linux server groot.

De GHOST vulnerability is enkel van toepassing op Linux server welke gebruik maken van de GNU C library voor versie glib-c2.18. Systemen die een niet gepatchte versie gebruiken van glibc van versie 2.2 (niet 2.20!) tot 2.17 lopen een risico. Volgende versies van Linux lopen mogelijk gevaar en worden best getest:

• CentOS 6 & 7
• Debian 7
• RHEL (Red Hat Enterprise Linux) 6 & 7
• Ubuntu 10.04 & 12.04
• End of Life Linux distributies (bvb. CentOS 5)

Wij raden u dan ook aan na te gaan of uw server onderhevig is aan deze bug, de nodige fixes te installeren en de server te herstarten.
U kan de GHOST exploit als volgt nakijken:

Hoe uw server controleren?

De eenvoudigste - en snelste manier - om na te gaan of uw server geimpacteerd is of niet, is door de versie van glibc op uw server te controleren. We overlopen hoe u dit kan doen in Debian, Ubuntu, RHEL en CentOS.
Let op, deze controle werkt ook enkel voor de algemene systeem GNU C library, niet voor zelf gecompileerde packages.

Debian en Ubuntu servers

Verifiëer de versie van glibc door de versie van ldd na te gaan (ldd maakt gebruik van glibc):

ldd --version

De output zal u de versie weergeven van eglibc, de glibc variant gebruikt door Debian en Ubuntu:

ldd (Debian EGLIBC <strong><u>2.13-38+deb7u7</u></strong>) 2.13
Copyright (C) 2011 Free Software Foundation, Inc.
This is free software; see the source for copying conditions. There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.
Written by Roland McGrath and Ulrich Drepper.

In ons voorbeeld tonen we de versie onderlijnd en in vet. Indien de versie bij uw server groter of gelijk is dan een van onderstaande, komt u niet in aanmerking voor de GHOST vulnerability.

• Ubuntu 12.04: 2.15-0ubuntu10.10
• Ubuntu 10.04: 2.11.1-0ubuntu7.20
• Debian 7: 2.13-38+deb7u7

Als uw versie OUDER is dan bovenstaande, dient u uw server te upgraden (zie onderaan).

RHEL en CentOS servers

Het eenvoudigste kan u de versie van glibc nagaan door gebruik te maken van rpm:

rpm -q glibc

U krijgt volgende weergave, met daarin de versienummer in het package:

glibc-<strong><u>2.12-1.132</u></strong>.el6_5.3.x86_64

Als de versie die u terug krijgt recenter is of gelijk aan een van onderstaande, komt u niet in aanmerking voor de GHOST vulnerability.

• CentOS 6: glibc-2.12-1.149.el6_6.5
• CentOS 7: glibc-2.17-55.el7_0.5
• RHEL 5: glibc-2.5-123.el5_11.1
• RHEL 6: glibc-2.12-1.149.el6_6.5
• RHEL 7: glibc-2.17-55.el7_0.5

Als uw versie OUDER is dan bovenstaande, dient u uw server te upgraden (zie onderaan).

Hoe de vulnerability oplossen?

Het snelste en eenvoudigste kan u de versie van glibc upgraden door gebruik te maken van de package manager in uw Linux distributie: apt-get of yum bvb.

Debian en Ubuntu: apt-get

Voor Debian en Ubuntu servers raden wij aan uw server te upgraden naar de nieuwste versie via apt-get dist-upgrade:

apt-get update && apt-get dist-upgrade

Volg de stappen en na installatie - dit kan even duren - herstart u uw server. Kijk vervolgens opnieuw na (zie boven) of de glibc versie correct is.

CentOS en RHEL: yum

Updaten van glibc gaat snelst via yum:

yum update glibc

Volg de stappen en na installatie - dit kan even duren - herstart u uw server. Kijk vervolgens opnieuw na (zie boven) of de glibc versie correct is.