要警戒です - Ghost(CVE-2015-0235)として知られているLinuxの脆弱性は、Qualysによって発見され、最近公表されました。この脆弱性はリモートでコードを実行できるため、厄介なものです。
この脆弱性に関しては徹底的に文書化されています。この セキュリティ・アドバイザリーを興味深いと思うかもしれません。簡単に言えば、この脆弱性は glibc 内の __ns_hostname_digits_dots()
に存在します。これは gethostbyname()
コールを介してホスト名の解決を行うものです。
私の資産は脆弱ですか?
はい、おそらく。これに対処するために、システムが更新されて再起動していることを確認する必要があります。
Debian と Ubuntu はサポートされているディストリビューションのパッケージを更新しました。 apt-get update && apt-get dist-upgrade
を実行してシステムを最新の状態にしてから再起動し、古いライブラリへの参照がまだ存在しないようにします。
他の一般的なディストリビューションについては、パッケージをアップグレードするための同等の手順に従ってください。 詳細についてはGHOST ガイドに従ってください。
Linodeインフラ は脆弱なのか?
いいえ。当社のセキュリティチームはインフラの保護に取り組んできました。当社のすべてのシステムで、この問題に対処するための適切な措置を講じていました。
コメント (9)
My server is running Ubuntu 12.04.1 do I need to upgrade in order for this to be fixed or will it be in the repo’s?
You shouldn’t need to upgrade to a new version of Ubuntu, simply updating through your package manager, then rebooting, will suffice for addressing this issue.
I run musl-libc so wasn’t vulnerable. You glibc plebs… poor sods.
My linode is running on CentOS 6.4. I have updated the glibc package with yum manager but still the version showing is 2.12 after update. I run some script to check the whether the server is affected by ghost. the system showing is vulnerable.. how to fix ..let me know..
A practical thing (hope it could be helpful for anyone). You don’t need to reboot the whole server after updating. If you are not able to do reboot — use this cmd which relaunchs only several applications that actually use vulnerable glibc:
for s in $(lsof | grep libc | awk ‘{print $1}’ | sort | uniq); do if [[ -f “/etc/init.d/$s” && “$(ps aufx | grep -v grep | grep $s)” ]]; then echo $s; service $s restart; fi; done
From: http://blog.wallarm.com/post/109402223343/ghost-a-brief-recap-of-what-you-need-to-know
@Jonathan Leal – You don’t need to restart your server, typing execute ‘lsof | grep libc | awk ‘{print $1}’ | sort | uniq’ and it’s enough.
Thanks for the quick response and posting about this, Linode. 🙂
Here is a Spanish FAQ about GHOST vulnerability:
http://www.sysadmit.com/2015/01/linux-vulnerabilidad-ghost.html
The above lsof commands have a problem!!! They only return the first 9 characters of the command name.
$ lsof | grep libc | grep redis
redis-ser 3303….
vs:
lsof +c 0 | grep libc | grep redis
redis-server 3303
You may well miss services that need to be restarted without “+c 0”