Lỗ hổng glibc GHOST (CVE-2015-0235): có yêu cầu khởi động lại máy chủ sau khi nâng cấp glibc không?


Câu trả lời:


23

Khởi động lại không bắt buộc về mặt kỹ thuật , vì chỉ những chương trình sử dụng glibc mới cần được khởi động lại và kernel không sử dụng glibc.

Điều đó đang được nói, khởi động lại mọi thứ sử dụng glibc là đủ rộng để bạn có thể khởi động lại .

Ví dụ, /sbin/initsử dụng glibc. Tuy nhiên, khởi động lại nó là tầm thường (chạy init unhư root).


3
OTOH Tôi thực sự nghi ngờ rằng initnó dễ bị tổn thương do CVE :)
Erbureth nói rằng Rebstate Monica

11
@Erbureth, tôi đồng ý, nhưng tôi nghĩ rằng "Tôi nghĩ chương trình này dễ bị tổn thương, tôi nghĩ rằng chương trình đó không phải" là "một trò chơi lạ. Động thái chiến thắng duy nhất là không chơi."
gowenfawr

sysvinit là an toàn (không có cuộc gọi DNS và thường xuyên nhưng không phải lúc nào cũng được liên kết tĩnh). systemddường như có một bộ giải quyết tất cả của riêng mình. Theo kinh nghiệm của tôi, việc thay thế các thư viện được sử dụng bởi các quy trình chạy dài có thể gây ra sự mất ổn định. Khởi động lại, và hạnh phúc.
mr.spuratic

2
sysvinit có thể được khởi động lại. Ban hành lệnh init u và nó sẽ thực thi / sbin / init.
Joshua


9

Nếu bạn hài lòng với việc khởi động lại thủ công các dịch vụ riêng lẻ đang sử dụng thư viện dễ bị tổn thương, bạn có thể chạy lệnh này và khởi động lại các quy trình được liệt kê:

# lsof | awk '/libc-/ {print $1}' | sort -u

Bạn có thể sẽ thấy việc khởi động lại máy hoàn toàn sẽ dễ dàng hơn.


9
lsof | awk '/DEL.*libc/{print $1}' | sort -uchỉ khớp với những liên kết đến libc đã bị xóa (sau khi cập nhật).
sch

2
Có ai thực sự kiểm tra đầu ra của lsof | grep libc? Nó phù hợp với rất nhiều thư viện bao gồm libcurl, libcups, libcairo, v.v. Grepping cho libc-dường như tạo ra kết quả chính xác.

Đó là một đường vòng khá đẹp và phương pháp không chính xác. Làm cách nào để phát hiện các quy trình đang chạy bằng gói thư viện? Dù sao, đối với glibc, câu trả lời là khá nhiều mỗi quá trình. Điều gì sẽ hữu ích là để biết những quy trình nào còn sót lại với bản sao cũ và lệnh này sẽ không cho bạn biết.
Gilles 'SO- ngừng trở nên xấu xa'

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.