Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Spoedonderhoud bij veel hosters om Ghost-bug

Door
Arnout Veenman
geplaatst op
28 januari 2015 12:02 uur

Veel hosters roepen hun klanten op om hun servers te patchen om de zojuist ontdekte Ghost-bug te dichten. Ondertussen voeren veel hosters zelf ook spoedonderhoud uit. De bug in de C Library (glibc) maakt het mogelijk om op afstand willekeurige code te laten uitvoeren en daarmee het systeem volledig over te nemen. Veel van de grote Linux-distributies zijn kwetsbaar voor de bug.

De bug zelf is al twee jaar geleden ontdekt en gepatcht door de glibc-ontwikkelaars. Er was tot nu toe echter niet bekend dat deze ook als exploit kon worden gebruikt om code op Linux-systemen te laten uitvoeren en daarmee het systeem volledig over te nemen. De mogelijkheid om de bug te misbruiken werd ontdekt door Qualys tijdens een code audit. In een persbericht waarschuwt het bedrijf dat veel (stable) versies van de grote Linux-distributies nog kwetsbaar zijn:

De gevonden kwetsbaarheid staat bekend als GHOST (CVE-2015-0235), omdat hij te triggeren is door de gethostbyname-functie. GHOST is van invloed op veel systemen gebouwd op Linux (vanaf glibc-2.2 die op 10 november 2000 uitkwam). Onderzoekers van Qualys stelden ook een aantal factoren vast, die de impact van deze bug beperken, zoals een fix uitgebracht op 21 mei 2013 tussen de releases van glibc-2.17 en glibc-2.18. Helaas was deze fix niet geclassificeerd als beveiligingsadvies, waardoor de meeste stabiele distributies met langetermijnondersteuning blootgesteld bleven. Het gaat hier om Debian 7 (wheezy), Red Hat Enterprise Linux 6 & 7 en Ubuntu 12.04.

Ook op Twitter maken veel hosters melding van spoedonderhoud en roepen zij klanten klanten op om hun eigen servers zo snel mogelijk te patchen. Een selectie van de tweets staat hieronder.

Belangrijk: Vanwege een lek in Linux glibc moeten VPS-en geüpdatet worden, lees hier hoe dit moet: http://t.co/eMRemgrYfE

— ArgewebSupport (@ArgewebSupport) January 28, 2015

Gisteravond werd het Linux-lek #ghost bekend gemaakt. Alle Byte en Hypernode servers zijn vannacht direct gepatcht: https://t.co/M1JXDh0u7s

— Hypernode (@Hypernode_com) January 28, 2015

Nieuwe kritische bug ontdekt (GHOST), daarom aankomende nacht extra onderhoud! http://t.co/4VOvH8PAJ9

— RealHosting (@RealHosting) January 28, 2015

Ernstig lek in Linux glibc library. We adviseren iedereen dringend om je systeem te upgraden. Check http://t.co/bEV28E5wWi

— TransIP (@TransIP) January 27, 2015

Vanavond hebben wij maatregelen genomen n.a.v. van het kritieke lek in glibc. https://t.co/akWubUuNIG

— Exonet (@exonet) January 27, 2015

Large vulnerability found in glib, CentOS/RHEL 5-7, Ubuntu 12.04 and Debian 7 affected. https://t.co/aeS4Qma2mK Update follows tomorrow.^LZ

— CloudVPS News (@cloudvps) January 27, 2015

Nieuw beveiligingslek GHOST gevonden. Voorkom misbruik! https://t.co/6VbLPPqLbk

— Oxilion (@Oxilion) January 28, 2015

Reacties

Mike, 28 januari 2015 4:25 pm

Storm in een glas water, alleen als je specifieke kwetsbare software (bijvoorbeeld Exim) gebruikt, is direct actie noodzakelijk:

http://lwn.net/Articles/630854/
http://www.openwall.com/lists/oss-security/2015/01/27/18

Richard, 28 januari 2015 11:39 pm

Hoezo direct actie noodzakelijk?
Het ding is 2 jaar geleden al gefixed staat er te lezen? Als je dus gewoon je software up2date hebt gehouden is er niets aan de hand en hoef je ook niets aparts te doen.
Maar ik kan me voorstellen dat hosters die tientallen servers hebben hangen daar niet wekelijks aan gaan updaten.

Maarten, 28 januari 2015 11:55 pm

Als je stabiele Linux distributies gebruikt zoals RedHat Enterprise / CentOS, dan was je ook vulnerable als je helemaal up to date was. Je hebt die patches dan echt nodig, hackers zitten niet stil. De hosters hierboven weten heus wel waar ze het over hebben en zijn ook zeker wel bij met hun normale updates. Niet alleen exim, meerdere services zijn hierdoor kwetsbaar.

Maar steek vooral je kop in het zand en roep dat het een storm in een glas water is. Veel makkelijker.

Gerwin, 29 januari 2015 8:49 am

+1 voor Maarten

Omdat er nu alleen een POC bekend is voor Exim wil niet zeggen dat de kiddo's geen andere vectors bedenken. Als de glibc ontwikkelaars het gewoon als security fix hadden gemarkeerd dan hadden de LTS distros deze wel ge-backport.

Dreas, 29 januari 2015 6:14 pm

Belangrijk is ook dat Exim alleen met bepaalde (niet-standaard) configuratie opties kwetsbaar is voor dit probleem, neemt niet weg dat het goed is om uit voorzorg de updates the installeren die eergisteren zijn vrijgegeven door de meeste distributies inderdaad.

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.