GHOST glibc güvenlik açığı (CVE-2015-0235): glibc yükseltmesinden sonra sunucunun yeniden başlatılması gerekiyor mu?


Yanıtlar:


23

Yeniden başlatma değil teknik olarak gerekli glibc ihtiyacını kullanmak sadece programları yeniden başlatılması nedeniyle, ve çekirdek glibc kullanmaz.

Bununla birlikte, glibc kullanan her şeyi yeniden başlatmak, sadece yeniden başlatabileceğiniz kadar geniştir .

Örneğin, /sbin/initglibc kullanır. Ancak yeniden başlatmak önemsizdir ( init uroot olarak çalıştırın ).


3
OTOH initCVE nedeniyle savunmasız olduğundan şüpheliyim :)
Erbureth diyor Reinstate Monica

11
@Erbureth, katılıyorum, ama sanırım "Bence bu program savunmasız, programın garip bir oyun olmadığını düşünüyorum " garip bir oyun. Tek kazanan hamle oynamak değil. "
gowenfawr

sysvinit güvenlidir (DNS çağrısı yoktur ve genellikle ancak her zaman statik olarak bağlı değildir). systemdkendi başına bir çözümleyici var gibi görünüyor. Deneyimlerime göre, uzun süren süreçler tarafından kullanılan kitaplıkların değiştirilmesi kararsızlıklara neden olabilir. Yeniden başlatın ve mutlu olun.
mr.spuratic

2
sisvinit yeniden başlatılabilir. İnit u komutunu verin ve / sbin / init komutunu çalıştırın.
Joshua


9

Güvenlik açığından etkilenen kitaplığı kullanan tek tek hizmetleri el ile yeniden başlatmaktan memnunsanız, bu komutu çalıştırabilir ve listelenen işlemleri yeniden başlatabilirsiniz:

# lsof | awk '/libc-/ {print $1}' | sort -u

Muhtemelen makineyi tamamen yeniden başlatmanın daha kolay olacağını göreceksiniz.


9
lsof | awk '/DEL.*libc/{print $1}' | sort -uyalnızca şimdi silinen (güncelleme sonrasında) libc'ye bağlantı verenlerle eşleşmek için .
sch

2
Gerçekten çıkışını kontrol eden var lsof | grep libcmı? Libcurl, libcups, libcairo vb. Dahil bir ton kütüphaneyle eşleşir. Grepping için libc-doğru sonuçlar üretiliyor gibi görünüyor.

Bu oldukça dolambaçlı ve yanlış bir yöntem. Kütüphane paketi kullanarak çalışan işlemleri nasıl tespit edebilirim? Her neyse, glibc için cevap hemen hemen her süreçtir. Yararlı olan, eski kopyada hangi işlemlerin kaldığını bilmek olacaktır ve bu komut size söylemeyecektir.
Gilles 'SO- kötü olmayı bırak'

7

Evet, bu nedenle glibc'nin eski sürümüne bağlı olan işlemler kütüphanenin yeni sürümü ile yeniden başlar. Statik olarak bağlantılı programların da bu nedenle yeniden derlenmesi gerekir.


DNS işlevlerinin NSS, glibc ve eski glibc sürdürücüsünün tarihsel önyargıları ile etkileşimleri göz önüne alındığında, statik bağlantı muhtemelen nadirdir .
mr.spuratic
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.