Làm cách nào để vá CVE-2015-0235 (GHOST) trên debian 7 (khò khè)?


8

Lỗ hổng này đã được tìm thấy trong glibc, xem bài đăng tin tức về hacker này để biết thêm thông tin.

Theo mô tả trong trình theo dõi lỗi debian , lỗ hổng đã được vá trong thử nghiệm và không ổn định.

Tôi muốn vá nó càng sớm càng tốt, vì vậy có thể cài đặt gói vá từ một trong những phiên bản đó không và nếu có, làm thế nào tôi có thể làm như vậy?

Câu trả lời:


13

Không, cài đặt các gói từ phiên bản phân phối sai là không an toàn . Mặc dù mọi người dường như làm điều đó mọi lúc (và thường phá vỡ hệ thống của họ theo những cách thú vị). Đặc biệt glibc là gói quan trọng nhất trên hệ thống; mọi thứ đều được xây dựng để chống lại nó, và nếu ABI của nó bị thay đổi thì mọi thứ sẽ phải được xây dựng lại để chống lại nó. Bạn không nên mong đợi phần mềm được xây dựng dựa trên một phiên bản glibc sẽ hoạt động khi có phiên bản khác.

Và dù sao, lỗ hổng này đã tồn tại hơn 14 năm và bất chấp mọi tiếng la hét và la hét về nó, nó đòi hỏi một tập hợp các tình huống khá hẹp để khai thác. Chờ đợi một hoặc hai ngày cho một bản vá thích hợp không có khả năng là một vấn đề.


5

Trước hết, đừng hoảng sợ! Các nhà phát triển debian sẽ phát hành một gói cập nhật càng sớm càng tốt, vì vậy tất cả những gì bạn phải làm là nâng cấp sau khi bản vá được phát hành. Để tìm hiểu xem nó đã được phát hành chưa, vui lòng không chạy apt-get update cứ sau 5 phút mà đăng ký https://lists.debian.org/debian-security-announce/ và chỉ cần đợi email đến hộp thư đến của bạn.


1

Bản cập nhật cho glibc đã có sẵn trong các bản cập nhật bảo mật cho debian 7. Kiểm tra xem các bản cập nhật bảo mật có được bật trong nguồn không. Tôi sẽ cập nhật máy chủ của tôi tối nay.


-2

Hãy thử điều này để cài đặt libc6:

sudo apt-get install libc6

sau đó xác minh nó:

apt-cache policy libc6

Bạn có thể cần phải khởi động lại máy chủ của mình sau khi cài đặt nó.


-3

Tắt UseDNStùy chọn trong cấu hình SSHD của bạn.


Bất kỳ lý do cụ thể này đã bị hạ cấp? Không giúp giảm thiểu ma?
WooDzu

2
Quá nhiều gói có thể bị ảnh hưởng bởi lỗi này, ví dụ exim4 dường như dễ bị ảnh hưởng bởi vấn đề này. Tuy nhiên, theo Qualys gói sau đây là không dễ bị tổn thương: apache, cups, dovecot, gnupg, isc-dhcp, lighttpd, mariadb/mysql, nfs-utils, nginx, nodejs, openldap, openssh, postfix, proftpd, pure-ftpd, rsyslog, samba, sendmail, sysklogd, syslog-ng, tcp_wrappers, vsftpd, xinetd( seclists.org/oss-sec/2015/q1/283 )
Tombart
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.