GHOST是一个“缓冲区溢出”错误,会影响glibc库中的gethostbyname()和gethostbyname2()函数调用。如果远程攻击者可以对gethostbyname()或gethostbyname2()进行应用程序调用,则此漏洞使远程攻击者可以在运行应用程序的用户权限下执行任意代码。

GHOST was originally published by Red Hat as CVE-2015-0235: //access.redhat.com/articles/1332213

1. 对CVE-2015-0235的检查点响应(glibc – GHOST)

解决方案编号: sk104443
严重程度:

IPS保护: 

Check Point发布了保护客户环境的“ GNU C库gethostbyname缓冲区溢出” IPS保护。
此保护是Recommendation_Protection配置文件的一部分。它使组织可以在使用供应商提供的补丁程序更新系统的同时,为其网络添加一层保护。

操作系统级别保护: 

  • IPSO OS不容易受到攻击。
  • 尽管Check Point 盖亚和SecurePlatform操作系统可能会受到CVE-2015-0235的影响,但Check Point软件尚无已知漏洞。

修补程序包

修补程序包可用于 R77.20R77.10R77R76,  and R75.47
R77.20 R77.10 R77 R76 R75.47
盖亚
安全平台

2. 杜松:2015-01周期外安全公告:GHOST glibc gethostbyname()缓冲区溢出漏洞(CVE-2015-0235)

弱势产品

  • 朱诺斯空间
  • CTP视图
  • CTP
  • 国际开发计划署
  • SRC
  • NSM设备
  • JSA和STRM系列

解:

  • 朱诺斯空间:已记录PR 1060102来解决此问题。
  • 国际开发计划署:已记录PR 1060071以解决IDP-OS中的此问题。
  • CTP视图:已记录PR 1060060以解决CTPView中的此问题。
  • CTP:已记录PR 1060352以解决CTP-OS中的此问题。
  • SRC:已记录PR 1060350以解决此问题。
  • NSM设备:已记录PR 1059948来解决此问题。
  • QFabric Director:内部使用了gethostbyname()函数,但外部端口上未将DNS名称解析作为服务提供。
  • Firefly主机/ vGW:无法利用在vGW / FFH 安全 VM代理上运行的基于C / C ++的守护程序。同样,基于Java的vGW / FFH管理系统(SD VM)不适用(Apache Java应用程序服务器)。
  • JSA和STRM:修复程序即将发布。
  • IDP异常:IDP异常SMTP:OVERFLOW:COMMAND-LINE应涵盖此漏洞的已知SMTP变体。为了便于攻击查找,签名团队已将CVE-2015-0235链接为对此异常的参考,并将其作为推荐策略的一部分。所有这些更改将反映在下一个签名包中,该签名包计划于2015年1月29日PST 12:00发布。

解决方法:一般缓解措施:

受影响的gethostbyname()函数主要是通过响应CLI或通过侦听设备的服务对DNS主机名和地址的引用而调用的。 申请并维持良好的安全性最佳最新实践(BCP),以限制关键基础架构网络设备的可利用攻击面。 使用访问列表或防火墙过滤器可以限制仅从受信任的管理网络或主机对网络设备的访问。 这降低了远程恶意利用GHOST漏洞的风险。

3.思科:GNU glibc gethostbyname函数缓冲区溢出漏洞

咨询ID:cisco-sa-20150128-ghost:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150128-ghost

解决方法: 

当前没有针对此漏洞的基于网络的缓解措施,也没有可以直接在受影响的系统上执行的任何缓解措施。

通过 约翰

发表评论