Digi国际安全通告
最初于3月6日发布th, 2015年12月18日更新
cve - 2015 - 0235
概述
一个关键的安全漏洞,
报告为CVE-2015-0235,绰号“GHOST”,
是由Qualys发现的。该漏洞影响GNU libc库中的GetHostbyName API调用。几乎所有在UNIX和C语言下编写的程序都使用这个库。本通知的目的是告知您该漏洞、它如何影响Digi产品,以及修复此问题所需的可能步骤。在我们对这个漏洞的测试中,我们发现没有一个远程攻击者可以未经授权访问您的设备。此外,我们已将此漏洞评为低/不可利用的风险给我们的客户。
受影响的产品
Digi的安全团队已经评估了Digi产品的漏洞暴露情况,并确定该漏洞对我们产品的总体风险很低。我们发现我们的少数产品包含glibc易受攻击的库,其中没有一个是可远程利用的。以下产品使用受影响的glibc库版本:
按照最佳安全实践,Digi将在正常的产品发布周期内对这些产品中存在实际影响的现有库进行审查和修补。Digi建议其所有客户定期更新其产品固件版本。
尽管Digi CM使用了一个潜在的易受攻击的glibc,但只有系统管理员才能为用户提供对命令行的访问权限(这不是默认行为)。该产品的所有非cli功能都从系统配置文件中读取存储/清理过的变量。
不受影响产品
以下Digi产品和服务不受此漏洞影响:
- 连接WAN, WAN 3G, ES, SP/Wi-SP, N2S
- ConnectPort X2, X4, X4H, X5, WAN, TS
- PortServer TS
- 数码网络之一
- USB的任何地方
- 传输WR11、WR21、WR41、WR44
- 净+操作系统
- Digi设备云
- Digi Cloud连接器
- 兔子
- 电子护照
- ConnectPort LTS
- www.phdurl.com网站
注:如果您对Digi未列出的任何产品和服务有任何疑问,请致电+1(952)912-3456或通过网站与我们联系
www.phdurl.com/support
.
受影响产品的详细资料
背景
该漏洞的官方名称为CVE-2015-0235,绰号“GHOST”,最初似乎有可能影响互联网上的许多不同应用程序。这个漏洞是基于深度通用代码库(GNU libc)的,几乎所有程序都使用该库在它们运行的系统上进行交互。GetHostbyName操作系统调用将Internet名称转换为在网络系统之间路由数据所需的实际数字。这意味着用户输入的任何程序都有类似的名称
www.phdurl.com
美国可能很脆弱。这个名称可以传递给受影响的glibc调用。
事实证明,受到影响的glibc库始于11月10日发布的glibc-2.2th2000),并在glibc-2.18(5月21日发布)上结束圣2013) 2013年的初始修复是由于其他原因完成的,并且当时最初未被确定为安全威胁。
Digi International拥有一个安全团队,将继续审查从这一威胁中发现的新结果,并测试我们的解决方案和产品是否存在任何新的和正在出现的安全漏洞。安全是我们的首要任务,我们非常重视。
分析
我们使用了各种商业扫描仪,以及手动方法来进行这些测试并确定我们的结果。对于GHOST,测试这个漏洞的形式是验证所有终端用户输入到我们的产品。由于我们在发布所有产品的标准基础上进行了此测试,因此没有发现可能与此漏洞相关的结果。此外,对于可能依赖于易受攻击的库的产品,这些程序限制了网络最终用户的输入。由于传统UNIX系统上的许多程序都使用这些库,因此对该漏洞的初步分析评价很高。最初的预期是许多程序都容易受到这个错误的影响。然而,在这个时候,只有4个程序被发现是脆弱的。这些程序是EXIM(一个UNIX邮件程序)、clockdiff、pppd、procmail (comsat/biff特性)。此外,我们发现很难执行触发glibc漏洞所需的1024个字符输入,因为有其他输入验证系统可以阻止这一点被利用。
以下是我们对威胁的分析,可能暴露的风险,以及我们建议客户如何减轻威胁。
功能的影响:
不受影响的功能:
- 我们相信我们的设备和软件的所有功能都不会受到影响。此漏洞需要依赖于易受攻击的glibc库的易受攻击程序。由于Digi International在我们的程序中定期审查和测试最终用户提交的字段和数据,我们不知道有任何地方存在这两个错误,从而允许这个漏洞被执行。
风险
有关此漏洞的一般风险,请参阅下面的参考资料链接。2022世界杯G组对于Digi国际产品的具体风险,我们将GHOST对我们产品的风险分类为非常低/不可利用.
- 在我们的测试过程中,我们无法从这个漏洞中找到任何远程利用。此外,我们无法找到特权升级可能成为问题的任何位置。对于测试的每个产品,以及我们确定受到影响的glibc库,攻击者至少需要对设备具有完全的访问权限才能利用。
- 假设任何程序都受到影响,则不可能进行特权升级。在测试过程中,我们没有看到任何一个地方受到撞击。尽管US-CERT将此漏洞评为最高级别(CVSS 10.0),但我们设备的真正威胁要低得多(见下文)。
GHOST对我们产品和服务的风险是:
- 对GHOST的最初审查是网络是访问向量。对于我们的设备,我们不运行任何已知的易受攻击的程序与网络访问。
- 受影响的本地程序都没有安装在我们的系统上。
- 在任何GHOST漏洞中都没有发现用户特权升级路径。在假设的本地利用的情况下,获得一个有效的本地利用只能让您完全访问您已经完全访问的系统。
- 我们例行地在程序中测试用户输入场景,并验证它们不会溢出。由于我们的设备只有一组有限的功能,因此这种威胁被认为比完全成熟的Linux服务器要低得多,因为它具有更多的“攻击面”,可以发现glibc漏洞。
- 我们的产品不提供产品上的构建环境,因此向设备添加任何附加代码至少需要作为完全访问用户进行访问。
风险需要由最终客户以及他们如何选择在其环境中部署设备来确定。我们根据以下标准作出此决定:
- 大多数客户将设备部署在无法从Internet访问的网络中。
- 该漏洞不能被远程利用。对于测试的每个案例,我们认为需要完全访问设备才能看到漏洞。
建议保护您的设备的步骤
虽然我们已将此评为对任何Digi设备都没有影响,但我们仍然建议采取以下步骤。
缓解措施
查看此公告了解固件发布版本和日期。你也可以浏览
www.phdurl.com/support
有关特定于您的设备的更多信息。我们还建议您订阅产品支持站点上的RSS提要,以便获得针对您的产品的任何新固件或文档发布的即时通知。
如果固件更新不可用,我们目前没有任何进一步的建议来缓解此漏洞。如果您认为您的设备的某个功能存在风险,我们邀请您进一步与我们联系。
2022世界杯G组GHOST的资源
如有兴趣了解更多有关披露的资料,请浏览以下网页:
- 趋势科技实验室-没那么诡异:Linux“幽灵”漏洞——http://blog.trendmicro.com/trendlabs-security-intelligence/not-so-spooky-linux-ghost-vulnerability/
- Qualys博客——https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability
- 雷达技术——http://www.techradar.com/us/news/software/security——software/all——你需要- - -了解-鬼漏洞- 1282919
- 博客技术信息——http://blog.sucuri.net/2015/01/critical-ghost-vulnerability-released.html
- 不要被GHOST吓到——http://www.tripwire.com/state-of-security/vulnerability-management/dont-be-shellshocked-by-ghost/
如果您对此漏洞以及它如何影响Digi硬件产品和Digi设备云有任何其他问题,请随时与我们联系security@digi.com
最后更新:2017年8月23日