Linux函式庫Glibc再現重大安全漏洞

Google與紅帽的安全研究人員近日不約而同地發現了Linux的GNU C library（Glibc）專案中藏匿一重大的安全漏洞，可能造成堆積緩衝區溢位並導致遠端程式攻擊，估計將影響眾多的Linux軟體與裝置。該漏洞的修補程式已於周二(2/16)釋出。

Glibc為一用來定義Linux系統上的系統呼叫與其他基本功能的C語言函式庫，是一個重要且基本的Linux核心功能，去年出現的鬼（GHOST）漏洞亦是源自於Glibc。

根據Google的說明，在Glibc的DNS客戶端解析器中使用getaddrinfo() 函式功能時，駭客只要在合法的DNS請求時，以過大的DNS檔案回應，便會形成堆積緩衝區溢位漏洞。

駭客可透過所掌控的網域名稱或DNS伺服器開採漏洞，或是執行中間人（man-in-the-middle）與偷渡式攻擊。該漏洞影響Glibc 2.9（2008年釋出）以後的所有版本，成功的開採雖然可導致遠端程式攻擊，但並不那麼直覺，駭客還需要繞過諸如ASLR等系統上的安全機制。

此一新漏洞的編號為CVE-2015-7547，Google或紅帽並未列出受到影響的產品，資安業者則警告，只要是使用glibc的各種系統都有安全風險，包括Linux、Unix或Android行動平台，是個值得緊急修補的安全漏洞。

Google已釋出用來確定漏洞存在與否的概念性驗證程式，目前並未發現針對該漏洞的攻擊程式，但資安社群相信在漏洞公開後，攻擊程式很快就會現身，呼籲用戶儘快修補。