Después de la divulgación de la vulnerabilidad FANTASMA extremadamente crítico en la biblioteca GNU C (glibc) - un componente ampliamente utilizado de la mayoría de las distribuciones de Linux, los investigadores de seguridad han descubierto que las aplicaciones PHP, incluido el Sistema de Gestión de Contenidos de WordPress (CMS), también podrían verse afectados por la bug.
"FANTASMA" es una seria vulnerabilidad (CVE-2015-0235), ha anunciado esta semana por los investigadores de la empresa de seguridad con sede en California Qualys, que involucra a un desbordamiento de búfer basado en heap en el nombre de la función glibc - "gethostbyname ()." Los investigadores dijeron que la vulnerabilidad ha estado presente en el código glibc desde 2000.
Aunque los principales distribuidores de Linux como Red Hat, Debian y Ubuntu, ya han actualizado su software contra la falla, FANTASMA podría ser utilizado por hackers contra sólo un puñado de aplicaciones actualmente para ejecutar remotamente código ejecutable y silenciosamente hacerse con el control de un servidor Linux.
Como explicamos en nuestro artículo anterior, desbordamiento de búfer basado en heap se encontró en __nss_hostname_digits_dots función (), que se utiliza sobre todo por el gethostbyname () y gethostbyname2 () llamada a la función glibc.
Puesto que, las aplicaciones PHP incluyendo WordPress también utilizan el gethostbyname () función de contenedor, la posibilidad de la vulnerabilidad crítica se hace más alta, incluso después de muchas distribuciones de Linux emitieron correcciones.
GHOST - GRAN PROBLEMA para WordPress
Según el investigador Sucuri Marc-Alexandre Montpas, vulnerabilidad FANTASMA podría ser un gran problema para WordPress CMS, ya que utiliza la función wp_http_validate_url () para validar cada URL puesto pingback.
".... Y lo hace mediante el uso de gethostbyname ()", escribió Montpas en un aviso publicado el miércoles. "Así que un atacante podría aprovechar este vector para insertar una URL maliciosa que activaría un buffer overflow error, del lado del servidor, lo que potencialmente lo que le permite obtener privilegios en el servidor."
La vulnerabilidad afecta a todas las versiones de glibc de glibc-2.17 e inferior. Sin embargo, fue parcheado en glibc-2.18 05 2013, pero no fue marcado como un problema de seguridad por lo que la solución no lo hacen en muchas distribuciones de Linux comunes como RedHat y Ubuntu.
CÓMO COMPROBAR SU SISTEMA CONTRA DEFECTO FANTASMA
"Se trata de una vulnerabilidad muy crítico y debe ser tratado como tal", dijo Montpas. "Si usted tiene un servidor dedicado (o VPS) que se ejecuta Linux, usted tiene que asegurarse de actualizar de inmediato."
Sucuri también proporcionó el siguiente código PHP de prueba, que un administrador puede ejecutar en su terminal de servidor. Si el código devuelve un error de segmentación, entonces su servidor Linux es vulnerable a la vulnerabilidad FANTASMA.
php -r '$ e = "0"; for ($ i = 0; i <$ 2,500; $ i ++) {$ e = "0 $ e";} gethostbyname ($ e);' fallo de segmentación
CÓMO PROTEGER
Hasta ahora, Debian 7, Red Hat Enterprise Linux 6 y 7, CentOS 6 y 7 y Ubuntu 12.04 ha lanzado actualizaciones de software. Así que se recomienda a los usuarios de las distribuciones de Linux más arriba parchear sus sistemas, seguido de un reinicio del sistema, tan pronto como sea posible.
Desactivar XML-RPC
Si usted no desea utilizar el proceso de XML-RPC, es posible desactivar por completo. Incluso hay plugins de Wordpress que será totalmente deshabilitar los procesos XML-RPC.
Desactivar solicitudes Pingback
También puede desactivar la función de pingback añadiendo el siguiente código a su archivo functions.php:
add_filter ('xmlrpc_methods', function (métodos de $ ') {unset (métodos de $ [' pingback.ping]); regresan métodos $;});
No comments