“幽灵”漏洞可远程控制Linux服务器

东方联盟（ www.vm888.com）：“幽灵”漏洞可远程控制Linux服务器

大多数Linux系统中广泛使用的一个组件存在严重漏洞（CVE-2015-0235），攻击者只需发送一封恶意邮件即可远程控制系统。披露该漏洞的安全厂商Qualysg于周二表示，此漏洞存在于GNU发布的glibc（C运行库，负责定义系统调用）中，被称为“幽灵”（Ghost）。

红帽、Debian、Ubuntu和Novell已经发布了更新补丁，建议系统管理员尽快打上。

该漏洞最早于2000年就出现在glibc中，并于2013年5月21日被修复。但当时，业内并不认为这个漏洞有安全风险，包括Debian 7、红帽企业版Linux 6和7、CentOS 6和7、Ubuntu 12.04都没有修补。

Qualys在一次代码审计中发现此问题，目前并不清楚攻击者之前是否已经利用了这个漏洞。这是去年在开源软件的组件中发现的众多严重漏洞之一，包括心脏滴血、贵宾犬和破壳。

幽灵是一个缓冲区溢出漏洞，可以通过“gethostbyname”函数在本地或远程触发。应用程序使用glibc获得对DNS解析的访问权，把主机名转换成IP地址。

研究人员开发了一个概念性利用程序，然后发送一个精心构造的恶意邮件给含有漏洞的Exim邮件服务器，远程获得shell，取得了对服务器完全的控制权。Qualys在通告中表示，暂时不会公布这个利用程序，并将针对此漏洞发布一个名为Metasploit的渗透测试工具包。

一位系统工程师在博客中表示，这个漏洞的修补工作“很烦人”。因为更新程序在glibc的包里，有一组运行库被许多系统服务使用，所以当完成更新后，每一个服务都需要重启。他建议更新后最好重启整个服务器，至少也要重启面向公众的服务，如Web服务器和邮件服务器。