E’ recente la notizia di un pesante bug nella libreria glibc. GNU C Library (glibc) è l’implementazione della libreria C standard e rappresenta uno dei componenti fondamentali dei sistemi operativi basati su Linux. Il bug nella libreria glibc, usata in moltissime distribuzioni di Linux, potrebbe consentire l’esecuzione di codice malevolo sulle macchine che usano questo sistema operativo.
Il bug è stato classificato a rischio elevato e ne sono affette tutte le versioni glibc dalla 2.9 fino alla 2.22. Il bug, individuato dal team di Google e di RedHat, visto l’ampio range di versioni interessate, è fonte di preoccupazione per una larga percentuale di utenti Linux.
Cosa fare?
Precisato che il problema è più grave se si gestisce un server, il comune utente che utilizza Linux lato desktop deve immediatamente aggiornare la libreria in oggetto.
Sembra, inoltre, che non tutte le distro siano affette dal bug; Una che sembra abbia già da tempo risolto il problema è Slackware. L’aggiornamento della libreria è invece indispensabile per chi usa Debian, OpenSuse, Ubuntu e loro derivate.
Ad aggiornamento avvenuto consigliamo di controllare che nelle proprietà del pacchetto glibc compaia una nota di questo tipo “send-dg-buffer-overflow.patch: Fix getaddrinfo stack-based buffer overflow (CVE-2015-7547)”.
E’ stato distribuito dal Team Google un programma in grado di testare la libreria glibc. Ecco come utilizzarlo:
- Scaricare e scompattare il file .zip
- Individuare il programma con il suffisso .c lato client e in .py lato server
- compilare il file con suffisso .c con il comando gcc -o client CVE-2015-7547-client.c
- Subito dopo eseguire il programma in python con il comando python CVE-2015-7547-poc.py
- Una volta eseguito il programma in python, in un’altra scheda del terminale scrivere ./client
Se la libreria è bug esente non dovrebbe accadere nulla e non dovrebbero esserci crash di sistema.
Chi è esente?
Per fortuna gli utenti Android non sono interessati da questa falla. La libreria utilizzata, infatti, è Bionic e non glibc.
Esenti dal problema sono la maggior parte dei router in quanto utilizzano una versione light della libreria glibc (i.e. uclibc).
Nessun problema, infine, per i sistemi *BSD (incluso iOS e MacOsX).
Ultimo consiglio
Se non dovesse essere possibile effettuare l’aggiornamento di una macchina affetta da questo bug, configurare il firewall in modo che vengano rifiutate tutte le risposte UDP DNS superiori ai 512 byte e che le risposte TCP DNS vengano limitate a 1024 byte.
