Google與紅帽的安全研究人員近日不約而同地發現了Linux的GNU C library(Glibc)專案中藏匿一重大的安全漏洞,可能造成堆積緩衝區溢位並導致遠端程式攻擊,估計將影響眾多的Linux軟體與裝置。該漏洞的修補程式已於周二(2/16)釋出。
Glibc為一用來定義Linux系統上的系統呼叫與其他基本功能的C語言函式庫,是一個重要且基本的Linux核心功能,去年出現的鬼(GHOST)漏洞亦是源自於Glibc。
根據Google的說明,在Glibc的DNS客戶端解析器中使用getaddrinfo() 函式功能時,駭客只要在合法的DNS請求時,以過大的DNS檔案回應,便會形成堆積緩衝區溢位漏洞。
駭客可透過所掌控的網域名稱或DNS伺服器開採漏洞,或是執行中間人(man-in-the-middle)與偷渡式攻擊。該漏洞影響Glibc 2.9(2008年釋出)以後的所有版本,成功的開採雖然可導致遠端程式攻擊,但並不那麼直覺,駭客還需要繞過諸如ASLR等系統上的安全機制。
此一新漏洞的編號為CVE-2015-7547,Google或紅帽並未列出受到影響的產品,資安業者則警告,只要是使用glibc的各種系統都有安全風險,包括Linux、Unix或Android行動平台,是個值得緊急修補的安全漏洞。
Google已釋出用來確定漏洞存在與否的概念性驗證程式,目前並未發現針對該漏洞的攻擊程式,但資安社群相信在漏洞公開後,攻擊程式很快就會現身,呼籲用戶儘快修補。