返回
基础
分类

glibc除了封装Linux操作系统所提供的系统服务外,就让我们来盘点一下十大杰出漏洞使用

日期: 2020-01-02 08:04 浏览次数 : 86

快来看看你的网站还安全吗?

最近开源界真是漏洞频出,有GNU C Library (glibc)可导致Linux软件被攻击者劫持,Linux Mint 官网被黑 ,镜像被植入后门用户网站可能被入侵,再到近日,OpenSSL 爆出漏洞。研究人员表示这个安全漏洞会对SSL(安全套接层)协议产生巨大影响,导致WEB站点被攻击,利用这个漏洞进行攻击的行为被研究人员称为“DROWN”DecryptingRSA with Obsolete and Weakned eNcryption ),即“利用过时的脆弱加密算法对RSA算法进行破解”。
必赢手机登录网址 1
这一漏洞可能造成近三分之一的HTTPS服务器瘫痪,根据估算将有1100万台服务器收到影响。尽管爆出漏洞,但是相关的组织还是第一时间做出了相应的补丁,如果你的网站使用了OpenSSL 建议你前往官网下载相应的补丁,红帽等机构也有相应的补丁包,并且将OpenSSL 升级至1.0.2g.以避免网站受到攻击!

原文转载自《Linux就该这么学》:

最近开源界真是漏洞频出,有GNU C Library (glibc)可导致Linux软件被攻击者劫持,Linux Mint 官网被黑 ,镜像被植入...

2月16日,Google在博客中公布了一个关于GNU C Library (glibc)的安全漏洞,可导致GNU/Linux上的应用被攻击者劫持,进而在GNU/Linux上执行任意代码,甚至控制计算机。CVE编号为CVE-2015-7547。‌‌

不知道大家对于经典漏洞的了解有多少,今天,就让我们来盘点一下十大经典漏洞利用。

glibc(GNUC Library)是GNU发布的libc库,是GNU/Linux中最底层的API,几乎其它任何运行库都会依赖于glibc。glibc除了封装Linux操作系统所提供的系统服务外,它本身也提供了许多其它必要功能服务的实现。

1.OpenSSL心脏出血漏洞

必赢手机登录网址 2

必赢手机登录网址 ,OpenSSL心脏出血漏洞.jpg

漏洞描述
这项严重缺陷(CVE-2014-0160)的产生是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查。攻击者可以追踪OpenSSL所分配的64KB缓存将超出必要范围的字节信息复制到缓存当中再返回缓存内容,这样一来受害者的内存内容就会以每次64KB的速度进行泄露。

漏洞危害
OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议.多数SSL加密网站是用名为OpenSSL的开源软件包,由于这也是互联网应用最广泛的安全传输方法,被网银、在线支付、电商网站、门户网站、电子邮件等重要网站广泛使用,所以漏洞影响范围广大。

在漏洞爆发的时候全球前一百万的网站中,有40.9%的网站中招。OpenSSL心脏出血漏洞因其破坏性之大和影响的范围之广,堪称网络安全里程碑事件。

漏洞概述

2.Shellshock bash漏洞

必赢手机登录网址 3

Shellshock bash.jpg

漏洞描述
法国GNU/Linux爱好者Stéphane Chazelas于2014年9月中旬发现了著名SHELL实现BASH的一个漏洞(CVE-2014-6271),你可以通过构造环境变量的值来执行你想要执行的脚本代码,据报道称,这个漏洞能影响众多的运行在GNU/Linux上的会跟BASH交互的应用程序。
漏洞危害
Shellshock所影响的Bash软件,被广泛应用于各类网络服务器以及其他电脑设备。Shellshock本身的破坏力却更大,因为黑客可以借此完全控制被感染的机器,不仅能破坏数据,甚至会关闭网络,或对网站发起攻击。与之相比,“心脏流血”漏洞只会导致数据泄漏。

Google的安全人员发现,glibc的DNS客户端解析器中存在基于栈的缓冲区溢出漏洞。当调用到getaddrinfo()库函数时,攻击者便可借助被劫持的域名、被劫持的DNS服务器或中间人攻击利用该漏洞,控制软件,甚至直接远程root。

3.幽灵漏洞

必赢手机登录网址 4

幽灵漏洞.jpg

漏洞描述
幽灵漏洞(CVE-2015-0235)是Linux glibc库上出现的一个严重的安全问题,他可以让攻击者在不了解系统的任何情况下远程获取操作系统的控制权限。glibc是linux系统中最底层的api,几乎其它任何运行库都会依赖于glibcglibc 囊括了几乎所有的 UNIX 通行的标准。
漏洞危害
通过触发GetHOST函数造成了远程代码执行,攻击者可以利用此漏洞获取系统的完全控制权。

小编只知道用C写的那都是很底层的东西,出漏洞了是可以直接影响到内存的

4.Badlock Bug

必赢手机登录网址 5

Badlock Bug.jpg

漏洞描述
2016年4月12日,一个影响Windows 和 Samba 的安全漏洞(CVE-2016-2118)被披露。
漏洞危害
该漏洞可导致中间人和拒绝服务攻击。

影响范围

5.Stagefright

必赢手机登录网址 6

Stagefright.jpg

漏洞描述
Stagefright漏洞是一个影响安卓操作系统的远程代码执行漏洞。这个漏洞存在于Android 2.2及以上版本。这个漏洞由于触发条件简单而备受关注。攻击者只需给被攻击对象发送一条精心设计的彩信,即可控制整个手机,之后可以删除之前发送的彩信,使用户无法轻易察觉被攻击。
这个漏洞共有7个CVE编号CVE-2015-1538,CVE-2015-1539,CVE-2015-3824,CVE-2015-3826,CVE-2015-3827,CVE-2015 -3828,CVE-2015-3829和CVE-2015-3864,统称为Stagefright bug。
漏洞危害
Stagefright系列漏洞影响之大,危害之大,堪称移动界的“心脏滴血”。这个漏洞于2015年4月报告给了Google。2015年8月5日,漏洞作者在美国黑帽大会上详细讲解此漏洞。

glibc应用于众多Linux发行版本中,所以此类漏洞影响范围十分广泛。几乎所有的Linux发行版,只要glibc 版本大于2.9 就会受到影响。

6.SSLv3的POODLE攻击

必赢手机登录网址 7

SSLv3的POODLE攻击.jpg

漏洞描述
POODLE是Padding Oracle On Downgraded Legacy Encryption的缩写,不知是巧合还是有意,在英文中Poodle的意思是贵宾犬。POODLE攻击(CVE-2014-3566)仅仅针对SSLv3,但它本质上和BEAST攻击很类似,但操作更简单,而且没有像BEAST那样的workaround,只能升级协议。
漏洞危害
Google安全团队发现了这个漏洞。他们在2014年10月14日公开披露了这个漏洞,但是他们不认为POODLE攻击像Heartbleed和Shellshock攻击一样严重。2014年12月8日,公布了影响TLS的POODLE漏洞的一个变种。

漏洞详解

7.imagemagick

必赢手机登录网址 8

imagemagick .jpg

漏洞描述
ImageMagick压缩TIFF图片远程代码执行漏洞(CVE-2016-8707)被攻击者成功利用后,可导致远程代码执行。
漏洞危害
ImageMagick软件是用C语言编写的,可用来显示、转换以及编辑图形,支持超过200种图像文件格式,并且可以跨平台运行。ImageMagick软件被许多编程语言所支持,包括Perl,C++,PHP,Python和Ruby等,并被部署在数以百万计的网站,博客,社交媒体平台和流行的内容管理系统(CMS)。

对于一个DNS查询来说,glibc中的_nss_dns_gethostbyname4_r()函数会通过aloca()在栈中预先分配2048字节的空间来存储DNS的应答结果。

8.openssl vulnerability

必赢手机登录网址 9

openssl vulnerability.jpg

漏洞描述
OpenSSL在Heartbleed“心脏出血”漏洞发生不久后,于2014年6月5日再次修正了一个可以导致中间人攻击的新漏洞“CCS”(CVE-2014-0224)。
漏洞危害
OpenSSL的ChangeCipherSpec处理流程的不当,可能导致加密通讯的信息泄露,或通信过程中插入中间人的可能。此漏洞同时影响服务器和客户端两边,并且能够可靠重复,非常易于制作成自动化的攻击程序,且存在与OpenSSL的所有版本中。

接下来执行send-dg()和send_vc()函数时,如果response超过2048个字节,会在堆中分配一个新的缓冲区,其中所有的信息(buffer pointer, new buffer size 和response size)也会被更新。

9.windows sandworm

必赢手机登录网址 10

windows sandworm.jpg

漏洞描述
‍‍iSIGHT在俄罗斯网络间谍活动中发现‍影响全版本Windows系统的0day漏洞(CVE-2014-4114),SandWorm(沙虫)漏洞。
漏洞危害
该漏洞影响windows vista、windows7等以上操作系统,该漏洞属于Windows的OLE Package逻辑漏洞。该漏洞传播的文件载体无需任何shellcode、木马,导致基于检测点的检测设备无能为力,由于是可以触发OLE包管理INF 任意代码执行漏洞,就具有易被利用、易被改造的特点,如被黑客二次利用后扩散范围更广。

某些情况下,栈中的缓冲区和新的堆分配会发生不匹配,尽管response会超出栈缓冲区的大小,新的堆缓冲区也被分配了,栈缓冲区依然会被用来存储DNS response,这就会造成栈缓冲区溢出。

10.venom

必赢手机登录网址 11

venom.jpg

漏洞描述
这个名为毒液(VENOM),编号(CVE-2015-3456)的安全漏洞威胁到了整个安全行业,可以造成虚拟机逃逸。QEMU是一个指令级模拟器的自由软件实现,被广泛用于各大GNU/Linux发行版(包括Debian, Gentoo, SUSE, RedHat, CentOS等)。
漏洞危害
VENOM非常危险,因为如果能够利用该漏洞,那么将影响到世界范围内的大量虚拟化平台,并且其运行条件很简单,只需要在默认配置的虚拟机中就可以,最重要的是,它可以执行任意代码。VENOM将能够影响到成千上万的机构和数以百万计的终端用户。攻击者可以使监控程序崩溃,并能够获得目标机器以及其上运行的所有虚拟机的控制权。

ssh,sudo和curl等都有可能引起这个缓冲区溢出。

Google在博客中提供了POC测试(感兴趣的同学可以试一下这个漏洞到底有多大):

POC测试,即Proof of Concept,是业界流行的针对客户具体应用的验证性测试,根据用户对采用系统提出的性能要求和扩展需求的指标,在选用服务器上进行真实数据的运行。

Docker做了啥?

在这里要特别表扬下Docker,昨天Docker在第一时间就开始更新镜像,由于灵雀云镜像中心的library库是和Docker官方镜像库实时同步的,我们的工程师昨天就发现有几百个镜像更新任务在排队。目测Docker已经把官方库中所有镜像做了更新。Mesoscloud,Microsoft的镜像也都做了相关更新。

灵雀云做了啥?

灵雀云会尽快将这些镜像更新同步过来,目测今晚就能完成。大家最常用一些镜像已经优先做了同步。

灵雀云的服务器在第一时间更新了这些patch,请大家不要恐慌,放心使用灵雀云!

你应该做啥?

在这里强烈建议大家重新build自己的镜像!已经在运行的服务也停掉,重新build一下镜像,再运行!

最常用的Ubuntu镜像请使用这个版本:

如果你的服务器是Ubuntu的,可以用以下方法进行更新:

另外,由于大量镜像的更新,具有中国特色的registry mirror的使用体验会受到影响,还请大家体谅!