glibc CVE-2015-7547漏洞的分析和修复方法

lyhabc

漏洞概述
glibc中处理DNS查询的代码中存在栈溢出漏洞，远端攻击者可以通过回应特定构造的DNS响应数据包导致glibc相关的应用程序crash或者利用栈溢出运行任意代码。应用程序调用使用getaddrinfo 函数将会收到该漏洞的影响。

CVE编号
CVE-2015-7547

受影响的系统
CentOS6 所有版本
CentOS7所有版本
SUSE Linux Enterprise Server 11 SP3
SUSE Linux Enterprise Server 12
Ubuntu Server 14.04.1 LTS 32位
Ubuntu Server 14.04.1 LTS 64位
Ubuntu Server 12.04 LTS 64位
Ubuntu Server 12.04 LTS 64位（Docker）
Debian8.2 32位
Debian8.2 64位
Debian7.8 32位
Debian7.8 64位
Debian7.4 64位
CoreOS717.3.0 64位

如何修复该漏洞

腾讯云提供的基础操作系统镜像CentOS系列、Ubuntu系列、Debian系列都已修复该问题，新创建的云服务器不存在该漏洞。腾讯云提供的更新源已经提供了修改该漏洞的glibc版本，对于已经运行的云服务器可以通过手动更新glibc修复。

步骤一：（更新glibc版本）

CentOS6系列：
yum -y update glibc-2.12-1.166.el6_7.7 glibc-common-2.12-1.166.el6_7.7 glibc-devel-2.12-1.166.el6_7.7 glibc-headers-2.12-1.166.el6_7.7 glibc-static-2.12-1.166.el6_7.7 glibc-utils-2.12-1.166.el6_7.7 nscd-2.12-1.166.el6_7.7

Centos7系列：
yum -y update glibc-2.17-106.el7_2.4 glibc-common-2.17-106.el7_2.4 glibc-devel-2.17-106.el7_2.4 glibc-headers-2.17-106.el7_2.4 glibc-static-2.17-106.el7_2.4 glibc-utils-2.17-106.el7_2.4 nscd-2.17-106.el7_2.4

Ubuntu Server 14.04.1 LTS 系列：
1.修改/etc/apt/sources.list添加如下内容：
deb http://mirrors.tencentyun.com/ubuntu-security trusty-security main
2.执行apt-get update命令：
3.执行apt-get install libc6; apt-get install libc-bin命令；

Ubuntu Server 12.04 LTS 系列：
1.修改/etc/apt/sources.list添加如下内容：
deb http://mirrors.tencentyun.com/ubuntu-security precise-security main
2.执行apt-get update命令：
3.执行apt-get install libc6;

Debian6系列：
1.修改/etc/apt/sources.list添加如下内容：
deb http://mirrors.tencentyun.com/debian squeeze-lts main non-free contrib
deb http://mirrors.tencentyun.com/debian-security squeeze/updates main
2.执行apt-get update命令：
3.执行apt-get install libc6更新libc

Debian7系列：
1.修改/etc/apt/sources.list添加如下内容：
deb http://mirrors.tencentyun.com/debian-security wheezy/updates main
2.执行apt-get update命令：
3.执行apt-get install libc6更新libc

Debian8系列：
1.修改/etc/apt/sources.list添加如下内容：
deb http://mirrors.tencentyun.com/debian-security jessie/updates main
2.执行apt-get update命令：
3.执行apt-get install libc6;apt-get install libc-bin命令

步骤二：（重启服务）
由于本次漏洞为glibc的漏洞，涉及多种应用程序，最安全并且推荐的修复方法是重启系统生效。
如果你的系统无法重启，请执行如下命令查询仍然在使用老版本glibc的程序。
lsof +c0 -d DEL | awk 'NR==1 || /libc-/ {print $2,$1,$4,$NF}' | column -t
根据查询的结果, 识别哪些是对外提供服务的程序，重启对应的服务。

FAQ

1. 使用SELINUX可以规避这个漏洞吗?
合适的SELINUX规则可以限制系统被攻破后的影响，但是由于DNS被系统很多基础服务使用，所以SELINUX并不能完全规避该漏洞，建议及时进行更新。

2. 静态链接的可执行程序是否收到该漏洞的影响?
是的。如果二进制使用存在漏洞版本的glibc进行了静态链接，则对应的程序需要使用新版本glibc进行重新编译。

-------------------------------------------
Glibc(GNU C Library)是大多数Linux中的关键组件，漏洞(CVE-2015-7547)存在于glibc的DNS解析器中，是一个基于堆栈的缓冲区溢出漏洞。一台恶意DNS服务器可以返回给查询者超量的信息，利用这个漏洞用代码淹没程序内存，从而危害该程序，或者是掌握整个系统。
攻击方法
攻击者首先建立一个恶意的DNS服务器，然后发送带有此域名的恶意链接，受害者一旦点击这个链接，其使用的客户端或浏览器就会发送这个域名的查询请求，最终从这个恶意DNS服务器得到一个缓冲区溢出的响应。
这个域名还能够插入到服务器日志文件中，当解析这个域名时将触发远程代码执行，即便是SSH加密的客户端也无法避免。同样，在网络中使用中间人攻击的手段，即可篡改DNS响应，注入恶意代码的载荷。
有各种各样的漏洞利用方法，影响自2009年5月以来发行的glibc2.9版以后所有的版本。
漏洞原理
发现这个漏洞的谷歌研究人员解释，glibc通过alloca函数在堆栈中保有2048字节，这个函数响应DNS查询请求的函数_nss_dns_gethostbyname4_r ，然后是send_dg和send_vc两个函数。如果响应大于2048字节，就会从堆分配一个新的缓冲区并更新所有的信息，包括缓冲区指针、新的的缓冲区大小和响应包大小。在某些情况下，造成堆栈缓冲之间的不匹配，并会分配新的堆。最后的结果就是，堆栈缓冲将被用于存储DNS响应，即使响应包大小超过了堆栈缓冲，以及分配了堆缓冲。该行为导致堆栈缓冲的溢出。
关键问题存在于resolv/res_send.c中，并在使用getaddrinfo函数调用时触发。当启动sudo、curl或其他工具时，均可触发此漏洞利用。
影响程度
凡是使用glibc的Linux用户均受此漏洞影响，幸运的是许多嵌入式Linux设备逃过此劫，因为诸如家用路由器等设备使用的是轻量级的uclibc库。
实际上，该漏洞早去年7月就已经被发现，但当时这个编程上的问题被严重低估。当谷歌安全人员撞到这个漏洞时，他们发现红帽的两位研究人员也正在分析这个问题，但由于问题的严重性，两人并未公布相关信息，只是在私下的进行研究。最终谷歌、红帽双方合力开发了补丁更新。
补救措施
实现远程代码执行，攻击者必需绕过操作系统的安全机制，如ASLR（地址空间布局随机化）、非可执行堆栈保护等。防火墙也可以过滤一些可疑的DNS响应。
因此，安全运维人员可以限制所有TCP协议的DNS响应包大小在1024字节之内，并丢弃超过512字节的UDP协议DNS包。

最后，补丁已出，赶紧更新！