首頁 后端開發 操作系統 瀏覽內容
修復Linux Glibc庫嚴重安全漏洞的方法
日前Linux GNU glibc標準庫的 gethostbyname函數爆出緩沖區溢出漏洞,漏洞編號為CVE-2015-0235。
黑客可以通過gethostbyname系列函數實現遠程代碼執行,獲取服務器的控制權及Shell權限,此漏洞觸發途徑多,影響范圍大,請大家關注和及時臨時修復,后續我們會盡快更新鏡像修復。
一、 漏洞發布日期
2015年1月27日
二、 已確認被成功利用的軟件及系統
Glibc 2.2到2.17 (包含2.2和2.17版本)
三、 漏洞描述
GNU glibc標準庫的gethostbyname 函數爆出緩沖區溢出漏洞,漏洞編號:CVE-2015-0235。 Glibc 是提供系統調用和基本函數的 C 庫,比如open, malloc, printf等等。所有動態連接的程序都要用到Glibc。遠程攻擊者可以利用這個漏洞執行任意代碼并提升運行應用程序的用戶的權限。
四、 漏洞檢測方法
請自行檢測:
[[test]]$ cat > GHOST.c < < EOF#include #include #include #include #include #define CANARY"in_the_coal_mine"struct {char buffer[1024];char canary[sizeof(CANARY)];} temp = { "buffer", CANARY };int main(void) {struct hostent resbuf;struct hostent *result;int herrno;int retval;/*** strlen (name) = size_needed -sizeof (*host_addr) - sizeof (*h_addr_ptrs) - 1; ***/size_t len = sizeof(temp.buffer) -16*sizeof(unsigned char) - 2*sizeof(char *) - 1;char name[sizeof(temp.buffer)];memset(name, '0', len);name[len] = '\0';retval = gethostbyname_r(name,&resbuf, temp.buffer, sizeof(temp.buffer), &result, &herrno);if (strcmp(temp.canary, CANARY) !=0) {puts("vulnerable");exit(EXIT_SUCCESS);}if (retval == ERANGE) {puts("notvulnerable");exit(EXIT_SUCCESS);}puts("should nothappen");exit(EXIT_FAILURE);}EOF[test]$ gcc GHOST.c -o GHOST[test]$./GHOSTvulnerable五、 建議修補方案
特別提示:由于glibc屬于Linux系統基礎組件,為了避免修補對您服務器造成影響,建議您選擇合適時間進行修復,同時務必在修復前進行備份,如果修復出現問題,可以迅速回滾快照恢復。
Centos 5/6/7:
yum update glibc
Ubuntu 12/14
apt-get update
apt-get install libc6
Debian 6
wget -O /etc/apt/sources.list.d/debian6-lts.list http://mirrors.aliyun.com/repo/debian6-lts.list
apt-get update
apt-get install libc6
Debian 7
apt-get update
apt-get install libc6
Opensuse 13
zypper refresh
zypper update glibc*
Aliyun linux 5u7
wget -O /etc/yum.repos.d/aliyun-5.repo http://mirrors.aliyun.com/repo/aliyun-5.repo
yum update glibc
下面就以小殘博客使用的是阿里云的CentOS 6.3為例進行修復漏洞方法:
一、登陸linux服務器然后使用root權限執行
yum clean all
再執行
yum update glibc
yum clean all因為要先清除舊的緩存,我的是原生態的阿里云主機都要執行這個,所以%99的人也肯定必須要執行這個,否則你裝的還是舊的版本
二、查版本號執行
rpm -qa|grep glibc-2.12
更新后大的版本號是不變的,glibc-2.12-1.149 僅要后邊是149就表示是最新的了,不會顯示2.19
三點
2.18版本也受影響,官方僅寫到2.17
