Vulnerabilidade do Ghost no Linux

2

Chegou ao nosso conhecimento que glibc precisa ser atualizado da versão atual 2.2 para a mais recente, conforme o release 5/6/7.

Minha pergunta é que eu preciso reiniciar o sistema, porque estamos tendo mais de 7000 servidores em nosso ambiente, será difícil fazer a reinicialização do sistema.

Após atualizar glibc , não é vulnerável. Então, por que o aplicativo / servidor precisa ser reiniciado

?     
por Mongrel 02.02.2015 / 13:18

2 respostas

6

Respondi à maioria das perguntas deste tópico aqui sobre a vulnerabilidade fantasma.

Em suma, não, reinicializar o sistema não é 'obrigatório', mas como muitos aplicativos / utilitários de sistema usam o glibc, você terá que reiniciar todos eles antes que o patch tenha efeito. É por isso que é "recomendado" que você apenas reinicie o ambiente.

Meu thread mostra como você pode identificar quais aplicativos usam o glibc que precisarão ser reiniciados e como testar a vulnerabilidade antes e depois para ver se você ainda está afetado. O teste glibc pode mostrar não vulnerável após o patch, mas você ainda precisa se certificar de reiniciar todos os aplicativos porque eles carregam o glibc na memória e as versões do glibc na memória ainda estão vulneráveis ao exploit. Então você não está seguro ainda.

    
por 02.02.2015 / 13:33
1

Matasano Security escreveu um artigo ótimo artigo sobre a vulnerabilidade do Ghost. Ele afirma que todos os processos que usam a biblioteca glibc exigem uma reinicialização, portanto, suspeito que você tenha pelo menos de reiniciar todos os serviços para que eles usem a nova biblioteca.

Fix

If your distribution has patches available, install those patches. Otherwise:

  • Update to glibc 2.18 or newer
  • Restart all processes that load the glibc library
  • Issue new binaries for software statically linked against a vulnerable version of the glibc library.

Redhat recomenda uma reinicialização completa, mas também fornece o comando para encontrar todos os serviços que usam libc

Reinicie o sistema ou reinicie todos os serviços afetados:

Because this vulnerability affects a large amount of applications on the system, the safest and recommended way to assure every application uses the updated glibc packages is to restart the system.

In case you are unable to restart the entire system, execute the following command to list all services and binaries using glibc on your system.

$ lsof +c 15 | grep libc- | awk '{print $1}' | sort -u

From the resulting list, identify the public-facing services and restart them. While this process may work as a temporary workaround, it is not supported by Red Hat and, should a problem arise, you will be requested to reboot the system before any troubleshooting begins.

    
por 02.02.2015 / 13:32