メインコンテンツにスキップ
ブログクラウドの概要GHOSTの脆弱性について

GHOST 脆弱性

要警戒です - Ghost(CVE-2015-0235)として知られているLinuxの脆弱性は、Qualysによって発見され、最近公表されました。この脆弱性はリモートでコードを実行できるため、厄介なものです。

この脆弱性に関しては徹底的に文書化されています。この セキュリティ・アドバイザリーを興味深いと思うかもしれません。簡単に言えば、この脆弱性は glibc 内の __ns_hostname_digits_dots()に存在します。これは gethostbyname() コールを介してホスト名の解決を行うものです。

私の資産は脆弱ですか?

はい、おそらく。これに対処するために、システムが更新されて再起動していることを確認する必要があります。

Debian と Ubuntu はサポートされているディストリビューションのパッケージを更新しました。 apt-get update && apt-get dist-upgrade を実行してシステムを最新の状態にしてから再起動し、古いライブラリへの参照がまだ存在しないようにします。

他の一般的なディストリビューションについては、パッケージをアップグレードするための同等の手順に従ってください。 詳細についてはGHOST ガイドに従ってください。

Linodeインフラ は脆弱なのか?

いいえ。当社のセキュリティチームはインフラの保護に取り組んできました。当社のすべてのシステムで、この問題に対処するための適切な措置を講じていました。

コメント (9)

  1. Author Photo

    My server is running Ubuntu 12.04.1 do I need to upgrade in order for this to be fixed or will it be in the repo’s?

  2. Author Photo

    You shouldn’t need to upgrade to a new version of Ubuntu, simply updating through your package manager, then rebooting, will suffice for addressing this issue.

  3. Author Photo

    I run musl-libc so wasn’t vulnerable. You glibc plebs… poor sods.

  4. Author Photo

    My linode is running on CentOS 6.4. I have updated the glibc package with yum manager but still the version showing is 2.12 after update. I run some script to check the whether the server is affected by ghost. the system showing is vulnerable.. how to fix ..let me know..

  5. Author Photo

    A practical thing (hope it could be helpful for anyone). You don’t need to reboot the whole server after updating. If you are not able to do reboot — use this cmd which relaunchs only several applications that actually use vulnerable glibc:

    for s in $(lsof | grep libc | awk ‘{print $1}’ | sort | uniq); do if [[ -f “/etc/init.d/$s” && “$(ps aufx | grep -v grep | grep $s)” ]]; then echo $s; service $s restart; fi; done

    From: http://blog.wallarm.com/post/109402223343/ghost-a-brief-recap-of-what-you-need-to-know

  6. Author Photo

    @Jonathan Leal – You don’t need to restart your server, typing execute ‘lsof | grep libc | awk ‘{print $1}’ | sort | uniq’ and it’s enough.

  7. Author Photo

    Thanks for the quick response and posting about this, Linode. 🙂

  8. Author Photo
  9. Author Photo

    The above lsof commands have a problem!!! They only return the first 9 characters of the command name.

    $ lsof | grep libc | grep redis
    redis-ser 3303….

    vs:

    lsof +c 0 | grep libc | grep redis
    redis-server 3303

    You may well miss services that need to be restarted without “+c 0”

コメントを残す

あなたのメールアドレスは公開されません。必須項目には*印がついています。