Cve-2015-7547 glibc buffer overflow in getaddrinfo()

farid_h

farid_h

<defunct>
Contributeur
Un buffer overflow non-detecte depuis 2008 (!) dans glibc:

http://arstechnica.com/security/201...zzying-number-of-apps-and-devices-vulnerable/

:claque:

Les installations desktop Linux vont rapidement patcher cette grave lacune, mais qu'en est-il des centaines de millions d'Androids, smart-TV, embedded devices sans ulibc, etc. qui ont ete abandonnes par leurs fabricants ou qui ne sont updates que tous les 6-9 mois, if at all?

@Nalinux, nos BSDs comme FreeBSD ne sont pas affectes, car libc != glibc. :)

@Kuzan, @Sanid, @Bladi (faudra rapidement updater ton serveur...)
 
farid_h a dit:
Un buffer overflow non-detecte depuis 2008 (!) dans glibc:

http://arstechnica.com/security/201...zzying-number-of-apps-and-devices-vulnerable/

:claque:

Les installations desktop Linux vont rapidement patcher cette grave lacune, mais qu'en est-il des centaines de millions d'Androids, smart-TV, embedded devices sans ulibc, etc. qui ont ete abandonnes par leurs fabricants ou qui ne sont updates que tous les 6-9 mois, if at all?

@Nalinux, nos BSDs comme FreeBSD ne sont pas affectes, car libc != glibc. :)

@Kuzan, @Sanid, @Bladi (faudra rapidement updater ton serveur...)
Cliquez pour agrandir...
Lol le seul serveur que j'ai c'est ma freebox server :D
 
Sanid a dit:
Lol le seul serveur que j'ai c'est ma freebox server :D
Cliquez pour agrandir...
T'as de la chance. :)

J'observe ici dans un logiciel de management comment une multitude de serveurs est en train de s'auto-updater, et brievement rebooter. Et quand je dis multitude, c'est plus faisable manuellement, lol. :D
 
farid_h a dit:
T'as de la chance. :)

J'observe ici dans un logiciel de management comment une multitude de serveurs est en train de s'auto-updater, et brievement rebooter. Et quand je dis multitude, c'est plus faisable manuellement, lol. :D
Cliquez pour agrandir...
Mon boulot c'est de ramener la lumiere dans les serveurs après c'est pas ma partie ;)
 
Les Androids semblent épargnés, ainsi que les routeurs.
Sur getaddrinfo(), c'est pas rien tout de même :)

J'ai voulu tester le client.c de Github.
Code: 
#include <sys/types.h>
#include <sys/socket.h>
#include <netdb.h>
#include <err.h>#include <stdio.h>
#include <string.h>
int
main(void)
{ struct addrinfo hints, *res;   int r;
   memset(&hints, 0, sizeof(hints));
   hints.ai_socktype = SOCK_STREAM;

   if ((r = getaddrinfo("foo.bar.google.com", "22", 
   &hints, &res)) != 0) 
   errx(1, "getaddrinfo: %s", gai_strerror(r));

   return 0;
}
Ça compile sans erreur, mais quand je le lance ça me dit

phil@yoshi:/tmp$ ./client
client: getaddrinfo: Name or service not known

phil@yoshi:/tmp$ ldd client
linux-vdso.so.1 (0x00007ffffe5aa000)
libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007ffb15536000)
/lib64/ld-linux-x86-64.so.2 (0x00007ffb15914000)

Ça ne le fait pas si je remplace foo.bar.google.com par l'ip de google.com (66.159.33.59), mais pas de message d'erreur comme dans l'article. J'ai vu sur des forums qu'il faut éventuellement arrêter avahi, mais ça ne change rien.
Bien évidemment, nslookup fonctionne.
J'ai raté un truc ?

Linux Mint Debian.
 
Retour
Haut