Avis ID vasco-sa-20160223-glibc
Numéro de révision 1.0
Date de sortie 23 février 2016 12:00 UTC1
Dernière mise à jour 23 février 2016 12:00 UTC1
Résumé
Le mardi 16 février 2016, les ingénieurs de Google ont publié un billet de blog sur une vulnérabilité trouvée dans toutes les versions de glibc depuis 2.9. Le blog explique que le résolveur côté client Glibc DNS est vulnérable à un débordement de mémoire tampon basé sur la pile lorsque la fonction de bibliothèque getaddrinfo() est utilisée. Les logiciels utilisant cette fonction peuvent être exploités avec des noms de domaine contrôlés par l'attaquant, des serveurs DNS contrôlés par l'attaquant ou par le biais d'une attaque intermédiaire.
Produits touchés
Les produits suivants sont affectés par la vulnérabilité CVE-2015-7547 :
- IDENTIKEY Fédération Serveur 1.6
- IDENTIKEY Appliance 3.4.5.0 et plus tard
- AXSGUARD Gatekeeper 7.7.0 et plus tard
Même si la version vulnérable de glibc est utilisée dans ces produits, OneSpan évalue l'exploitabilité faible en raison de la façon dont le résolveur côté client DNS est utilisé dans les produits.
Description
La description de vulnérabilité suivante est extraite de la base de données nationale sur la vulnérabilité du NIST :
"Plusieurs débordements de mémoire tampon s'accumulent dans le (1) send_dg et (2) send_vc fonctions dans la bibliothèque libresolv dans la bibliothèque GNU C (aka glibc ou libc6) avant 2.23 permettent aux attaquants distants de provoquer un déni de service (crash) ou éventuellement d'exécuter du code arbitraire via une réponse DNS conçue qui déclenche un appel à la fonction getaddrinfo avec la famille AF_UNSPEC ou AF_INET6 adresse, concernant l'exécution de « doubles requêtes A/AAAA DNS » et du module libnss_dns.so.2 NSS.
Score de gravité
Le tableau ci-dessous indique le score de vulnérabilité CVSS 2.0 de vulnérabilité CVE-2015-7547.
| Score de base CVSS: 6.8 (moyen) | |||||
| Accès Vector | Complexité d'accès | Authentification | Impact sur la confidentialité | Impact sur l'intégrité | Impact sur la disponibilité |
| réseau | Médium | Aucun | qui aime bien | qui aime bien | qui aime bien |
Corrections de produits
OneSpan corrigera la vulnérabilité CVE-2015-7547 dans les prochaines versions suivantes :
- IDENTIKEY Federation Server 1.6.1 (à paraître au premier trimestre 2016)
- IDENTIKEY (Virtual) Appliance 3.10.11.0 (à paraître au deuxième trimestre 2016)
- AXSGUARD GateKeeper 8.2.1 (à paraître au deuxième trimestre 2016)
OneSpan recommande aux clients utilisant IDENTIKEY Authentication Server de mettre à jour la bibliothèque glibc à l'aide du système de mise à jour de leur distribution.
Emplacement
Pour les produits aXsGUARD Gatekeeper :
- OneSpan déploiera des correctifs via le service de mise à jour automatisée. Les clients qui ne permettent pas à leur système de recevoir des mises à jour via ce service doivent contacter OneSpan pour obtenir des instructions sur la façon d'obtenir le patch.
Pour les autres produits :
- Les clients ayant un contrat de maintenance peuvent obtenir des rejets de produits fixes de MyMaintenance. Les clients sans contrat de maintenance doivent contacter leur représentant commercial local.
référence
Ressources additionnelles:
- CVE-2015-7547
- Blog de sécurité en ligne Google
Avis de non-responsabilité juridique
BIEN QUE TOUS LES EFFORTS RAISONNABLES SOIENT FAITS POUR TRAITER ET FOURNIR DES RENSEIGNEMENTS EXACTS, TOUT LE CONTENU ET L'INFORMATION CONTENUS DANS CE DOCUMENT SONT FOURNIS « TELS QUE C'EST » ET « COMME DISPONIBLES », SANS AUCUNE REPRÉSENTATION OU APPROBATION ET SANS AUCUNE EXPRESSION OU IMPLICITE GUARANTEE OF CURRENCY, COMPLETENESS OR SUITABILITY, OR ANY WARRANTY INCLUDING THE WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR USE OR PURPOSE. VOTRE UTILISATION DE CE DOCUMENT, DE TOUTE INFORMATION FOURNIE OU DE DOCUMENTS LIÉS À CE DOCUMENT EST À VOS RISQUES ET PÉRILS. VASCO SE RÉSERVE LE DROIT DE MODIFIER OU DE METTRE À JOUR LES INFORMATIONS CONTENUES DANS CE DOCUMENT À TOUT MOMENT ET À SA DISCRÉTION, AU FUR ET À MESURE QUE DES INFORMATIONS NOUVELLES OU SUPPLÉMENTAIRES SERONT DISPONIBLES. Copyright © 2016 VASCO Data Security, Inc., VASCO Data Security International GmbH. Tous droits réservés.