16-го Февраля была обнаружена уязвимость в библиотеке glibc
, которая содержит стандартные библиотеки, используемые многими службами на сервере.
Уязвимость находится в функции getaddrinfo()
библиотеки libresolv
, которая входит в glibc
.
Документацию по glibc
можно найти тут>>> и тут>>>.
Исходный код getaddrinfo()
есть тут>>>.
Атакующий может отправить специально сформированный DNS-ответ на удаленный хост и выполнить произвольный код с правами пользователя, от которого запущена служба, использущая эту библиотеку.
Проверить – уязвима ли установленная библиотека можно с помощью скрипта отсюда>>>:
# git clone https://github.com/cakuzo/CVE-2015-7547.git # bash CVE-2015-7547/bin/test-glibc.sh Installed glibc packages: glibc-2.12-1.166.el6: vulnerable to CVE-2015-7547 Further information: https://googleonlinesecurity.blogspot.be/2016/02/cve-2015-7547-glibc-getaddrinfo-stack.html Bug Report: https://sourceware.org/bugzilla/show_bug.cgi?id=18665 Red Hat: https://access.redhat.com/articles/2161461 https://access.redhat.com/security/cve/CVE-2015-7547
Проверяем текущю версию:
# ldd --version ldd (GNU libc) 2.12 ...
Или так:
# rpm -qi glibc Name : glibc Relocations: (not relocatable) Version : 2.12 Vendor: CentOS Release : 1.166.el6 Build Date: Thu Jul 23 11:01:19 2015 Install Date: Sat Aug 8 03:32:18 2015 Build Host: c6b8.bsys.dev.centos.org Group : System Environment/Libraries Source RPM: glibc-2.12-1.166.el6.src.rpm ...
Для RHEL/CentOS обновление уже вышло, и для установки достаточно выполнить:
# yum update
И перезагружаем машину:
# reboot
Если после yum update glibc не обновился:
# cat /var/log/yum.log | grep glibc Feb 02 03:16:13 Installed: glibc-headers-2.12-1.166.el6.x86_64 Feb 02 03:16:13 Installed: glibc-devel-2.12-1.166.el6.x86_64
Feb 02
Попробуйте очистить кеш yum
:
# yum clean all
И запустить обновление еще раз.
Если обновления все равно нет – отключите все репозитории и подключите Updates:
# yum update glibc --disablerepo=* --enablerepo=updates ... Updating: glibc x86_64 2.12-1.166.el6_7.7 updates 3.8 M Updating for dependencies: glibc-common x86_64 2.12-1.166.el6_7.7 updates 14 M glibc-devel x86_64 2.12-1.166.el6_7.7 updates 986 k glibc-headers x86_64 2.12-1.166.el6_7.7 updates 615 k ...
Проверяем еще раз:
# bash CVE-2015-7547/bin/test-glibc.sh Installed glibc packages: glibc-2.12-1.166.el6_7.7: not vulnerable
Для Debian поступаем аналогично:
# apt-get update # apt-get upgrade
Проверяем:
# ldd --version ldd (Debian GLIBC 2.19-18+deb8u3) 2.19 ...
И проверяем тут>>>:
glibc (PTS) | jessie | 2.19-18+deb8u2 | vulnerable |
jessie (security) | 2.19-18+deb8u3 | fixed |
Ссылки по теме