Новая уязвимость GHOST угрожает популярным дистрибутивам на базе Linux

[alexxxst]

А перезапустить сервисы?

[nikitasius]

С того же сайта, указанного в статье: patch-ghost-on-debian-ubuntu-fedora-centos-rhel-linux.
Там есть программа на C, которой можно проверить уязвима ли система или нет, прежде чем патчиться.

[alex_bel]

Немного дополню. Протестировать можно так:

wget https://gist.githubusercontent.com/koelling/ef9b2b9d0be6d6dbab63/raw/de1730049198c64eaf8f8ab015a3c8b23b63fd34/gistfile1.c
gcc gistfile1.c -o CVE-2015-0235
./CVE-2015-0235

[nikitasius]

А чем вас не устроил предыдущий вариант с отсылкой на оригинальный текст?
В вашем случае надо проверить тот ли это код и ничего ли не поменяли, благо код небольшой, но это трата времени.

[alex_bel]

Всем устроил. Мне показалось, что такой вариант будет быстрее, если кому-то надо просто проверить уязвим или нет.

[DinoAsm]

К слову, я сначала скачал, а потом код почитал. И только потом скомпилил и запустил.

[soko1]

Подписываюсь! Прога на Си пришлась очень полезной. Мне было проще открыть линк чтобы проверить небольшой код нежели открывать доки с кучей ненужной мне информации.
Благодарю!

[priv8v]

Вчера вечером вкратце упоминали, кстати: habrahabr.ru/company/dsec/blog/249007/

[edinorog]

Сколько лет еще понадобиться, чтоб фраза «опенсоурс это безопасно из-за открытости кода» исчезла из обихода? =)

[dsx]

Нисколько, потому что такие инциденты этот тезис только подтверждают. Или это настолько неочевидно, что нужно каждый раз объяснять?

[AlexWinner]

Ну «понадобится» же, ну. Или это настолько неочевидно, что нужно каждый раз объяснять?

[heathen]

Они еще «тся\ться» в школе не проходили, ну, что вы?..

[Xtrey]

[paranoid_mod_on]
почему сразу уязвимость? обычный бэкдор.
[paranoid_mod_off]

[amarao]

Это фигня. Я вот тут раскопал в nova.conf (кусок openstack'а) опцию backdoor_port = None (выключено по-умолчанию). Я понимаю, питон, эвентлеты и всё такое, для отладки, но название внушает.

[mmib]

Инструкция по исправлению ошибки — это же жесть

sudo apt-get clean
sudo apt-get update
sudo apt-get dist-upgrade

А если мне НЕ нужно обновляться до следующей версии дистрибутива?

[mmib]

Собственно обновить только libc не проблема

sudo apt-get update
sudo apt-get install libc-bin

[mmib]

И да, после обновления этим способом скрипт пишет, что уязвимости нет. Сервер перезагружать тоже не нужно. Рестарта сервисов вполне достаточно

[DinoAsm]

Насчет перезагрузки, это чтобы гарантировано перезапустить все, что можно. Тест заработал с обновленной библиотекой, а sshd продолжает работать с загруженной в оперативку старой.

[mmib]

Думаете перезапуска сервисов не достаточно? Именно для этого перезапуск и придумали )

[angapov]

SSH-сервер даже после перезапуска сохраняет уже установленные соединения по понятным причинам. Так что в случае SSH нужно закрыть все пользовательские сессии и самому выйти :)

[DinoAsm]

Не все оформлено как сервис. Особенно, если у вас какой-то самостоятельно скомпиленный демон на cron @ reboot подвешен.

[humator]

apt-get dist-upgrade — это не обновление версии дистрибутива, ничего страшного в этой команде

[soko1]

>apt-get dist-upgrade
>А если мне НЕ нужно обновляться до следующей версии дистрибутива?

При чём тут обновление до следующей версии дистрибутива?
Если в sources.list вы не указывали никаких новых версий дистрибутива, то ничего dist-upgrade без вашего ведома обновлять не будет.

Вот подробное описание, чтобы понимали о чём речь:

Иногда у вас уже установлен пакет и выходит новая версия, в которой есть много новых возможностей, поэтому, она теперь при работе зависит от некоторых других программ. Например, у вас уже может быть установлен видеопроигрыватель, который поддерживает много различных видеоформатов. Когда появляются новые видеоформаты, модули для них могут добавляться в виде отдельных пакетов, так что последняя версия видеоплейера теперь зависит от нового пакета, который еще не установлен в вашей системе. Если вы просто запустите команду apt-get upgrade, вы получите последний видеоплеер, но вы не получите все новые пакеты видеоформатов. Команда apt-get dist-upgrade позволит вам решить эту проблему: она не только получит самую последнюю версию каждого уже установленного пакета так, как это делает команда apt-get upgrade, но также установит все необходимые новые пакеты, которых еще может не быть в вашей системе. Если вы хотите, чтобы ваша система находилась в постоянно обновленном состоянии и в ней были использованы все обновления, связанные с безопасностью, лучший способ этого добиться — это время от времени запускать команды apt-get update; apt-get dist-upgrade

>Собственно обновить только libc не проблема
>sudo apt-get update
>sudo apt-get install libc-bin

Держать всю систему в актуальном состоянии очень важно. Обновлять отдельные компоненты дистрибутива конечно можно, но только когда это какой-нибудь zip/zsh, но когда речь идёт о glibc — лучше обновить всё, потому что это зависимость номер один в любой linux-системе.

[angapov]

Это уже третья статья по теме Ghost в хабе «Информационная безопасность». Я понимаю, всем хочется быстрее сообщить о проблеме, но вы хоть смотрите, прежде чем постить!

[faiwer]

Проверил C-ым скриптом — vulnerable. Выполнил все рекомендации по обновлению… Всё равно vulnerable. «cat /etc/issue => Debian GNU/Linux 6.0»… :(

[Mithgol]

Даже после перезагрузки?

[faiwer]

Да :( Впрочем, я кажется понял. У меня что попало в sources.list-е прописано. Вот и не обновилось ничего.

[leonidas]

необходимо подключить LTS репозиторий, и будет счастья.

root@vm ~ # grep lts /etc/apt/sources.list
deb http://ftp.de.debian.org/debian squeeze-lts main
root@vm ~ #