El pasado 16 de febrero desde el blog de seguridad de Google se daba a conocer la existencia de una vulnerabilidad en la librería glibcdesde la versión 2.9 (CVE-2015-7547), la cual es la biblioteca estándar de lenguaje C, y por tanto es empleada por casi todos los programas compilados en un entorno UNIX, lo que implica que afecta a todas distribuciones de Linux.
Según comentan en Google, se dieron cuenta de este problema cuando uno de sus ingenieros comprobó que se producía un fallo de segmentación en su cliente SSH cada vez que intentaba conectar a un host específico. Esto derivó en una intensa investigación y el consiguiente descubrimiento de que el problema estaba en glibc y no en SSH. Como resultado de la investigación se determinó que el problema podía permitir la ejecución remota de código con los privilegios del usuario en cuestión.
Además de esto, explican que el equipo de mantenimiento de glibc ya había sido alertado de este problema en julio de 2015 y que dos de los ingenieros de Red Hat (Florian Weimer y Carlos O’Donell) también estaban analizando este bug, por lo que juntos desarrollaron un parche que resolviera el problema.
¿Afecta a mi sistema?
Al tratarse de una librería estándar de C en GNU afecta a la práctica totalidad de los programas de un sistema GNU/Linux, sobre todo en el caso de servidores o estaciones de trabajo entre otros.
¿Cómo compruebo la versión de glibc?
Para comprobar la versión de glibc que tienes instalada bastará con ejecutar la instrucción ldd –version.
angel@nosinmiubuntu:~$ ldd --version ldd (Ubuntu GLIBC 2.21-0ubuntu4) 2.21 Copyright (C) 2015 Free Software Foundation, Inc. Esto es software libre; vea el código fuente para las condiciones de copia. No hay NINGUNA garantía; ni siquiera de COMERCIABILIDAD o IDONEIDAD PARA UN FIN DETERMINADO. Escrito por Roland McGrath y Ulrich Drepper.
¿Cómo puedo dejar de ser vulnerable?
Simplemente deberás actualizar tu sistema operativo, ya que los parches están disponibles en los repositorios de las diferentes distribuciones.
Ubuntu Server y Debian
an@ubuntu:~$ sudo apt-get update && sudo apt-get upgrade -y
CentOS y RedHat
an@ubuntu:~$ yum update
openSUSE
an@ubuntu:~$ zypper up
Fuente: nosinmiubuntu
