新闻链接：http://www.seehand.com/news/375.html
新闻时间：2015/02/03
新闻正文：Linux的核心库——glibc库出现了一个非常严重的安全漏洞，这个安全漏洞可以被利用来通过博客系统WordPress远程执行代码，并且很可能通过其他的PHP应用来感染网络服务器。

这个缓冲区溢位漏洞被称为Ghost，是由安全供应商Qualys公司的研究人员在上周二发现并报道的。它在通用漏洞列表里被编号为CVE-2015-0235。

这个漏洞存在于(GNU C Library) glibc库2.7及以上版本的gethostbyname*()函数中。这个漏洞在2013年5月就已经在glibc库2.18版本中被修复了，但当时这个漏洞并没有被标记为安全漏洞。

因此，某一些Linux发行版本，尤其是那些研发用于长期技术支持的版本，在当时并没有植入这个修复补丁，而且当Qualys公司的研究人员在一次代码审计中鉴别这个漏洞的安全影响时，仍然使用的是带有这个漏洞的glibc库版本。

利用这个漏洞远程执行代码还取决于其他一些因素，如目标应用程序是否使用了glibc 库的gethostbyname*() 函数，以及是在什么样的情况下。Qualys公司的研究人员已经确认，clockdiff、procmail、pppd以及Exim邮件服务器在一定程度上可以被作为攻击目标。

然而，网站安全研究公司Sucuri的研究人员在上周三表示，我们有足够的理由相信这个漏洞可以通过使用了gethostbyname() 函数包装器的PHP语言编写的Web应用程序被利用。这有可能显著的扩大攻击目标范围。

这样的PHP应用程序有一个显著的例子是WordPress博客系统，它使用了一个名为wp_http_validate_url()的函数来验证“广播”的博客贴网站链接的有效性。

Sucuri公司的高级安全漏洞研究人员Marc-Alexandre Montpas在一篇博客文章中表示，WordPress博客系统是通过使用gethostbyname()函数实现这个功能的，所以攻击者可以利用这个漏洞植入恶意的的URL网络连接，从而可能引发缓冲区溢位漏洞、服务器端漏洞、可能使攻击者获得服务器权限。

Rapid7公司的首席研究员及命令行界面的渗透测试工具（Metasploit penetration testing tool）的主要开发人员 HD Moore，在针对Montpa的博客文章的评论中，发布了一个可以被用来检查一个Web服务器是否存在漏洞的PHP命令。

上周四，Trustwave公司蜘蛛实验室的安全研究员创建了一个概念认证脚本通过WordPress博客系统的“广播”功能来触发glibc缓冲溢位功能。

他们在博客文章中表示，如果一个目标web服务器存在这个漏洞，这个概念认证脚本（proof-of-concept）就会允许使用者远程验证，但是这并不证明说这个漏洞已经被利用了。

然而，WordPress博客系统用户被建议完全禁用XML-RPC进程，或阻止“广播”请求。服务器管理员被建议尽快升级glibc库版本。

Debian 7、Red Hat Enterprise Linux 6和7、CentOS 6和7以及Ubuntu12.04是已经被确认受到这个漏洞威胁的Linux发行版本，并且已经安装了发布的安全漏洞补丁。

Trustwave公司的研究员表示，当攻击者试图利用这个漏洞对您的服务器发动攻击时，最有可能会出现错误信息（如分割错误等），将会显示一个问题。企业应当在监视公司的网络日志以及跟踪异常的错误信息时保持警惕。

[课程]FART 脱壳王！加量不加价！FART作者讲授！