Comments 28
А перезапустить сервисы?
С того же сайта, указанного в статье: patch-ghost-on-debian-ubuntu-fedora-centos-rhel-linux.
Там есть программа на C, которой можно проверить уязвима ли система или нет, прежде чем патчиться.
Там есть программа на C, которой можно проверить уязвима ли система или нет, прежде чем патчиться.
Немного дополню. Протестировать можно так:
wget https://gist.githubusercontent.com/koelling/ef9b2b9d0be6d6dbab63/raw/de1730049198c64eaf8f8ab015a3c8b23b63fd34/gistfile1.c
gcc gistfile1.c -o CVE-2015-0235
./CVE-2015-0235
А чем вас не устроил предыдущий вариант с отсылкой на оригинальный текст?
В вашем случае надо проверить тот ли это код и ничего ли не поменяли, благо код небольшой, но это трата времени.
В вашем случае надо проверить тот ли это код и ничего ли не поменяли, благо код небольшой, но это трата времени.
Вчера вечером вкратце упоминали, кстати: habrahabr.ru/company/dsec/blog/249007/
Сколько лет еще понадобиться, чтоб фраза «опенсоурс это безопасно из-за открытости кода» исчезла из обихода? =)
[paranoid_mod_on]
почему сразу уязвимость? обычный бэкдор.
[paranoid_mod_off]
почему сразу уязвимость? обычный бэкдор.
[paranoid_mod_off]
Инструкция по исправлению ошибки — это же жесть
А если мне НЕ нужно обновляться до следующей версии дистрибутива?
sudo apt-get clean
sudo apt-get update
sudo apt-get dist-upgrade
А если мне НЕ нужно обновляться до следующей версии дистрибутива?
Собственно обновить только libc не проблема
sudo apt-get update
sudo apt-get install libc-bin
И да, после обновления этим способом скрипт пишет, что уязвимости нет. Сервер перезагружать тоже не нужно. Рестарта сервисов вполне достаточно
Насчет перезагрузки, это чтобы гарантировано перезапустить все, что можно. Тест заработал с обновленной библиотекой, а sshd продолжает работать с загруженной в оперативку старой.
Думаете перезапуска сервисов не достаточно? Именно для этого перезапуск и придумали )
apt-get dist-upgrade — это не обновление версии дистрибутива, ничего страшного в этой команде
>apt-get dist-upgrade
>А если мне НЕ нужно обновляться до следующей версии дистрибутива?
При чём тут обновление до следующей версии дистрибутива?
Если в sources.list вы не указывали никаких новых версий дистрибутива, то ничего dist-upgrade без вашего ведома обновлять не будет.
Вот подробное описание, чтобы понимали о чём речь:
>Собственно обновить только libc не проблема
>sudo apt-get update
>sudo apt-get install libc-bin
Держать всю систему в актуальном состоянии очень важно. Обновлять отдельные компоненты дистрибутива конечно можно, но только когда это какой-нибудь zip/zsh, но когда речь идёт о glibc — лучше обновить всё, потому что это зависимость номер один в любой linux-системе.
>А если мне НЕ нужно обновляться до следующей версии дистрибутива?
При чём тут обновление до следующей версии дистрибутива?
Если в sources.list вы не указывали никаких новых версий дистрибутива, то ничего dist-upgrade без вашего ведома обновлять не будет.
Вот подробное описание, чтобы понимали о чём речь:
Иногда у вас уже установлен пакет и выходит новая версия, в которой есть много новых возможностей, поэтому, она теперь при работе зависит от некоторых других программ. Например, у вас уже может быть установлен видеопроигрыватель, который поддерживает много различных видеоформатов. Когда появляются новые видеоформаты, модули для них могут добавляться в виде отдельных пакетов, так что последняя версия видеоплейера теперь зависит от нового пакета, который еще не установлен в вашей системе. Если вы просто запустите команду apt-get upgrade, вы получите последний видеоплеер, но вы не получите все новые пакеты видеоформатов. Команда apt-get dist-upgrade позволит вам решить эту проблему: она не только получит самую последнюю версию каждого уже установленного пакета так, как это делает команда apt-get upgrade, но также установит все необходимые новые пакеты, которых еще может не быть в вашей системе. Если вы хотите, чтобы ваша система находилась в постоянно обновленном состоянии и в ней были использованы все обновления, связанные с безопасностью, лучший способ этого добиться — это время от времени запускать команды apt-get update; apt-get dist-upgrade
>Собственно обновить только libc не проблема
>sudo apt-get update
>sudo apt-get install libc-bin
Держать всю систему в актуальном состоянии очень важно. Обновлять отдельные компоненты дистрибутива конечно можно, но только когда это какой-нибудь zip/zsh, но когда речь идёт о glibc — лучше обновить всё, потому что это зависимость номер один в любой linux-системе.
Это уже третья статья по теме Ghost в хабе «Информационная безопасность». Я понимаю, всем хочется быстрее сообщить о проблеме, но вы хоть смотрите, прежде чем постить!
Проверил C-ым скриптом — vulnerable. Выполнил все рекомендации по обновлению… Всё равно vulnerable. «cat /etc/issue => Debian GNU/Linux 6.0»… :(
Sign up to leave a comment.
Новая уязвимость GHOST угрожает популярным дистрибутивам на базе Linux