GHOST, el bug de Linux que permite ejecutar código desde el año 2000
Un gran bug de Linux ha sido descubierto, y afecta a todos los sistemas desde el 2000. ¿Qué hace y cómo te afecta?
28 enero, 2015 13:01Noticias relacionadas
- Los datos de casi todos los ciudadanos de Bulgaria han sido robados
- El inventor de la contraseña en los ordenadores muere a los 93 años
- Aviso de bomba: como abras este archivo tu ordenador se llenará de datos
- El Walkie-talkie del Apple Watch permite espiar lo que otra persona dice en su iPhone por un bug
Un bug recién descubierto de Linux afecta a todos los ordenadores y dispositivos que usan el sistema operativo, desde el año 2000. ¿Qué consecuencias tiene?
El bug en cuestión está en glibc, la librería del lenguaje de programación C de GNU; aunque a veces nos olvidemos, lo que conocemos como “Linux” en realidad es “GNU/Linux”, ya que Linux es solo el núcleo del sistema, y muchas de las librerías y programas son de GNU. Esta es la parte afectada por este bug, una parte importante porque permite a un atacante ejecutar código sin permiso.
Este bug de Linux dará que hablar
La vulnerabilidad ha recibido el temible nombre de GHOST, ya que está relacionada con la función _gethostbyname, usada como su nombre indica para obtener información de un host (un ordenador o dispositivo) a partir de un nombre y no una dirección IP. Esta función a su vez llama a _nss_hostname_digits_dots(), que es la que tiene el bug que puede provocar un desbordamiento de buffer (buffer overflow); los hackers suelen usar este método para meterse en zonas de memoria protegidas o que no deberían acceder.
El bug afecta a absolutamente todos los sistemas Linux, aunque en 2013 una actualización limitaba el alcance de lo que podía hacerse con este bug (aunque no lo solucionaba por completo). Pero la mejor noticia es que la función _gethostbyname ya no se usa tanto como antes, y ha sido sustituida por otras. Así que solo los propietarios de equipos antiguos (por ejemplo muchos servidores web) deberían actualizar cuanto antes.