Discussioni sul sistema operativo Linux
 

Ghost e Postfix

g4b0 29 Gen 2015 17:13
È da un paio di giorni che leggo di questo nuovo baco denominato Ghost e
nel dubbio ho patchato tutto il patchabile. Il mio problema è che mi
ritrovo a dover gestire un parco macchine con delle debian lenny (sigh)
sulle quali gira postfix 2.5.5, che non sono proprio b*****i da patchare.

La mia domanda è la seguente: è verosimilmente fattibile sfruttare
questo buffer overflow su macchine di questo genere? In teoria si, ma
vorrei capire in pratica quanto è pericoloso lasciare queste macchine
non patchate alla mercè di tutti, l'unico PoC che ho trovato in giro
sfrutta a quanto pare una configurazione esotica di Exim.

Non scendiamo perfavore nel dettaglio di avere ancora delle lenny in
produzione, il dist-upgrade non è contemplabile nelle operazioni fattibili.

--
g4b0, linux user n. 369000
http://brosulo.net
Skull 29 Gen 2015 18:21
On 29/01/15 17:13, g4b0 wrote:
> È da un paio di giorni che leggo di questo nuovo baco denominato Ghost e
> nel dubbio ho patchato tutto il patchabile. Il mio problema è che mi
> ritrovo a dover gestire un parco macchine con delle debian lenny (sigh)
> sulle quali gira postfix 2.5.5, che non sono proprio b*****i da patchare.
>
> La mia domanda è la seguente: è verosimilmente fattibile sfruttare
> questo buffer overflow su macchine di questo genere? In teoria si, ma
> vorrei capire in pratica quanto è pericoloso lasciare queste macchine
> non patchate alla mercè di tutti, l'unico PoC che ho trovato in giro
> sfrutta a quanto pare una configurazione esotica di Exim.
>
> Non scendiamo perfavore nel dettaglio di avere ancora delle lenny in
> produzione, il dist-upgrade non è contemplabile nelle operazioni fattibili.

Il baco riguarda gethostbyname, che è cmq obsoleta e deprecata.

Se vuoi star tranquillo greppa i sorgenti di postfix, ma sarei
abbastanza sorpreso se

1) postfix la utilizzasse
2) la chiamasse senza validazione dell'input passatogli
3) la usasse in contesto tale da consentire un exploit di qualche tipo

...

Nonostante il clamore, non la vedo come una vulnerabilità
particolarmente devastante, salvo poi essere smentito dai fatti...
g4b0 30 Gen 2015 16:41
On 29/01/2015 18:21, Skull wrote:
> On 29/01/15 17:13, g4b0 wrote:
>> È da un paio di giorni che leggo di questo nuovo baco denominato Ghost e
>> nel dubbio ho patchato tutto il patchabile. Il mio problema è che mi
>> ritrovo a dover gestire un parco macchine con delle debian lenny (sigh)
>> sulle quali gira postfix 2.5.5, che non sono proprio b*****i da patchare.
>>
>> La mia domanda è la seguente: è verosimilmente fattibile sfruttare
>> questo buffer overflow su macchine di questo genere? In teoria si, ma
>> vorrei capire in pratica quanto è pericoloso lasciare queste macchine
>> non patchate alla mercè di tutti, l'unico PoC che ho trovato in giro
>> sfrutta a quanto pare una configurazione esotica di Exim.
>>
>> Non scendiamo perfavore nel dettaglio di avere ancora delle lenny in
>> produzione, il dist-upgrade non è contemplabile nelle operazioni fattibili.
>
> Il baco riguarda gethostbyname, che è cmq obsoleta e deprecata.
>
> Se vuoi star tranquillo greppa i sorgenti di postfix, ma sarei
> abbastanza sorpreso se
>
> 1) postfix la utilizzasse
> 2) la chiamasse senza validazione dell'input passatogli
> 3) la usasse in contesto tale da consentire un exploit di qualche tipo
>
> ...
>
> Nonostante il clamore, non la vedo come una vulnerabilità
> particolarmente devastante, salvo poi essere smentito dai fatti...
>

Ah, ok, non sapevo fosse deprecata. In tal caso il cerchio si restringe,
meglio così. Mi fa strano a sto punto che Exim la utilizzi...

--
g4b0, linux user n. 369000
http://brosulo.net

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Discussioni sul sistema operativo Linux | Tutti i gruppi | it.comp.os.linux.sys | Notizie e discussioni linux | Linux Mobile | Servizio di consultazione news.