Pull to refresh

Comments 33

Немного дополню. Протестировать можно так:

wget https://gist.githubusercontent.com/koelling/ef9b2b9d0be6d6dbab63/raw/de1730049198c64eaf8f8ab015a3c8b23b63fd34/gistfile1.c
gcc gistfile1.c -o CVE-2015-0235
./CVE-2015-0235
А чем вас не устроил предыдущий вариант с отсылкой на оригинальный текст?
В вашем случае надо проверить тот ли это код и ничего ли не поменяли, благо код небольшой, но это трата времени.
Всем устроил. Мне показалось, что такой вариант будет быстрее, если кому-то надо просто проверить уязвим или нет.
К слову, я сначала скачал, а потом код почитал. И только потом скомпилил и запустил.
Подписываюсь! Прога на Си пришлась очень полезной. Мне было проще открыть линк чтобы проверить небольшой код нежели открывать доки с кучей ненужной мне информации.
Благодарю!
Сколько лет еще понадобиться, чтоб фраза «опенсоурс это безопасно из-за открытости кода» исчезла из обихода? =)
Нисколько, потому что такие инциденты этот тезис только подтверждают. Или это настолько неочевидно, что нужно каждый раз объяснять?
Ну «понадобится» же, ну. Или это настолько неочевидно, что нужно каждый раз объяснять?
Они еще «тся\ться» в школе не проходили, ну, что вы?..
[paranoid_mod_on]
почему сразу уязвимость? обычный бэкдор.
[paranoid_mod_off]
Это фигня. Я вот тут раскопал в nova.conf (кусок openstack'а) опцию backdoor_port = None (выключено по-умолчанию). Я понимаю, питон, эвентлеты и всё такое, для отладки, но название внушает.
Инструкция по исправлению ошибки — это же жесть
sudo apt-get clean
sudo apt-get update
sudo apt-get dist-upgrade

А если мне НЕ нужно обновляться до следующей версии дистрибутива?
Собственно обновить только libc не проблема
sudo apt-get update
sudo apt-get install libc-bin
И да, после обновления этим способом скрипт пишет, что уязвимости нет. Сервер перезагружать тоже не нужно. Рестарта сервисов вполне достаточно
Насчет перезагрузки, это чтобы гарантировано перезапустить все, что можно. Тест заработал с обновленной библиотекой, а sshd продолжает работать с загруженной в оперативку старой.
Думаете перезапуска сервисов не достаточно? Именно для этого перезапуск и придумали )
SSH-сервер даже после перезапуска сохраняет уже установленные соединения по понятным причинам. Так что в случае SSH нужно закрыть все пользовательские сессии и самому выйти :)
Не все оформлено как сервис. Особенно, если у вас какой-то самостоятельно скомпиленный демон на cron @ reboot подвешен.
apt-get dist-upgrade — это не обновление версии дистрибутива, ничего страшного в этой команде
>apt-get dist-upgrade
>А если мне НЕ нужно обновляться до следующей версии дистрибутива?

При чём тут обновление до следующей версии дистрибутива?
Если в sources.list вы не указывали никаких новых версий дистрибутива, то ничего dist-upgrade без вашего ведома обновлять не будет.

Вот подробное описание, чтобы понимали о чём речь:

Иногда у вас уже установлен пакет и выходит новая версия, в которой есть много новых возможностей, поэтому, она теперь при работе зависит от некоторых других программ. Например, у вас уже может быть установлен видеопроигрыватель, который поддерживает много различных видеоформатов. Когда появляются новые видеоформаты, модули для них могут добавляться в виде отдельных пакетов, так что последняя версия видеоплейера теперь зависит от нового пакета, который еще не установлен в вашей системе. Если вы просто запустите команду apt-get upgrade, вы получите последний видеоплеер, но вы не получите все новые пакеты видеоформатов. Команда apt-get dist-upgrade позволит вам решить эту проблему: она не только получит самую последнюю версию каждого уже установленного пакета так, как это делает команда apt-get upgrade, но также установит все необходимые новые пакеты, которых еще может не быть в вашей системе. Если вы хотите, чтобы ваша система находилась в постоянно обновленном состоянии и в ней были использованы все обновления, связанные с безопасностью, лучший способ этого добиться — это время от времени запускать команды apt-get update; apt-get dist-upgrade


>Собственно обновить только libc не проблема
>sudo apt-get update
>sudo apt-get install libc-bin

Держать всю систему в актуальном состоянии очень важно. Обновлять отдельные компоненты дистрибутива конечно можно, но только когда это какой-нибудь zip/zsh, но когда речь идёт о glibc — лучше обновить всё, потому что это зависимость номер один в любой linux-системе.
Это уже третья статья по теме Ghost в хабе «Информационная безопасность». Я понимаю, всем хочется быстрее сообщить о проблеме, но вы хоть смотрите, прежде чем постить!
Проверил C-ым скриптом — vulnerable. Выполнил все рекомендации по обновлению… Всё равно vulnerable. «cat /etc/issue => Debian GNU/Linux 6.0»… :(
Даже после перезагрузки?
Да :( Впрочем, я кажется понял. У меня что попало в sources.list-е прописано. Вот и не обновилось ничего.
необходимо подключить LTS репозиторий, и будет счастья.
root@vm ~ # grep lts /etc/apt/sources.list
deb http://ftp.de.debian.org/debian squeeze-lts main
root@vm ~ #
Only those users with full accounts are able to leave comments. Log in, please.