Más noticias relativas a la seguridad y que salpican a Linux. No han sido los desarrolladores del kernel Linux los que han metido la pata, pero sí los desarrolladores de la biblioteca C del proyecto GNU. Y un fallo cometido en la programación de este elemento, y que usan multitud de programas (sudo, curl, ssh, apps relacionadas con Bitcoin, PHP, Python,…) y el propio Linux, así como algunos dispositivos de hardware que trabajan con sistemas operativos Linux embebidos, deja la seguridad de estos proyectos comprometida de forma seria.
El fallo permite tomar el control de los paquetes DNS cuando estos sistemas o dispositivos realizan consultas DNS, modificando dichos paquetes al antojo del atacante para conseguir desbordar el buffer del sistema y ejecutar código malicioso de forma remota para saltarse los sistemas de seguridad y poder tomar el control del objetivo víctima. El fallo no estaba presente desde hace mucho, sino que ha sido introducido con las últimas actualizaciones de la biblioteca desde el año 2008.
El fallo afecta a equipos domésticos, empresariales, servidores, routers, consolas, etc. Además de miles de programas que usan esta biblioteca para funcionar. El problema se encuentra en la función getaddrinfo(), que da lugar a un desbordamiento de buffer que permite al atacante aprovecharlo. Y si tienes una versión posterior a glibc 2.9 estás expuesto a esta amenaza, las versiones anteriores no son vulnerables… No obstante, tampoco hay que alarmarse.
Los últimos parches solucionan el problema, así que mantén tu sistema operativo y estarás a salvo de este problema. Pero el software que utilice esta biblioteca no quedará libre de la vulnerabilidad, por tanto habrá que esperar a que los desarrolladores de cada proyecto actualicen sus desarrollos (tienen que volver a compilar usando la nueva biblioteca parcheada). Además, en caso de dispositivos como routers, modems, IoT, y demás dispositivos electrónicos que usan sistemas Linux embebidos, también quedan expuestos.
Pero usuarios de Android, tranquilos, el de Google, a pesar de basarse en Linux no está afectado…
El artículo Fallo en la biblioteca C de GNU que deja a miles de programas y a Linux desprotegido ha sido originalmente publicado en Linux Adictos.