Hace pocas horas fue anunciado una falla de seguridad presente en todas las versiones de glibc desde la 2.9 en adelante.
Esta falla permite a un atacante realizar ejecución de código remoto a través de un dominio, un dns controlado por él, o de un ataque de hombre en el medio.
Esta función es utilizada por diversos servicios del sistema, por ejemplo: ssh, sudo, curl. E inadvertidamente un sistema que ejecute estas tareas automáticamente, o un administrador de un sistema Linux puede ser objeto de ejecución de código remoto a través de esta vulnerabilidad.
La solución consiste en actualizar el sistema y, de ser posible, reiniciarlo.
Los sistemas basados en yum/rpm pueden actualizarse con:
yum update
Los sistemas basados en apt pueden actualizarse con:
apt-get update
apt-get upgrade
Es importante tener en consideración que Linux es un sistema utilizado por muchos dispositivos firewall y servidores, incluso aunque no se mencione explícidamente por lo que es imperioso se intente actualizar todos los sistemas tan pronto sea posible.
Post de google sobre el particular: https://googleonlinesecurity.blogspot.com/2016/02/cve-2015-7547-glibc-getaddrinfo-stack.html
Post de «TheRegister» sobre el particular: http://www.theregister.co.uk/2016/02/16/glibc_linux_dns_vulernability/?mt=1455717099888
Solución temporal para no tener que reiniciar:
Acabamos de verificar en el sitio https://blog.4psa.com/cve-2015-7547-glibc-security-hotfix-no-reboot-necessary/ que realizando las siguientes acciones podemos bloquear a nivel de firewall paquetes UDP superiores a 512bytes y TCP superiores a 1024bytes:
curl https://raw.githubusercontent.com/4psa/voipnowpatches/master/CVE-2015-7547-fix.sh -o CVE-2015-7547-fix.sh
sh CVE-2015-7547-fix.sh
Esta idea puede ser aplicada a cualquier firewall iptables.
Insistimos que la solución definitiva es actualizar el sistema y, luego de actualizado, reiniciarlo
