Vulnerabilità GHOST glibc (CVE-2015-0235): è necessario riavviare un server dopo l'aggiornamento di glibc?


Risposte:


23

Un riavvio non è tecnicamente necessario , poiché solo i programmi che usano glibc devono essere riavviati e il kernel non usa glibc.

Detto questo, riavviare tutto ciò che usa glibc è sufficientemente ampio da poter riavviare .

Ad esempio, /sbin/initusa glibc. Tuttavia riavviarlo è banale (esegui init ucome root).


3
OTOH dubito seriamente che initsia vulnerabile a causa del CVE :)
Erbureth dice Reinstate Monica il

11
@ Erbureth, sono d'accordo, ma penso "Penso che questo programma sia vulnerabile, penso che il programma non sia" è "uno strano gioco. L'unica mossa vincente è non giocare".
gowenfawr,

sysvinit è sicuro (nessuna chiamata DNS e spesso ma non sempre anche staticamente collegato). systemdsembra avere un risolutore tutto suo. Nella mia esperienza, la sostituzione di librerie utilizzate da processi di lunga durata può causare instabilità. Riavvia e sii felice.
mr.spuratic,

2
sysvinit può essere riavviato. Immettere il comando init u e verrà eseguito / sbin / init.
Joshua,


9

Se si è soddisfatti del riavvio manuale dei singoli servizi che utilizzano la libreria vulnerabile, è possibile eseguire questo comando e riavviare i processi elencati:

# lsof | awk '/libc-/ {print $1}' | sort -u

Probabilmente scoprirai che sarà più facile riavviare completamente la macchina.


9
lsof | awk '/DEL.*libc/{print $1}' | sort -uda abbinare solo a quelli che si collegano alla libc ora cancellata (dopo l'aggiornamento).
sch

2
Qualcuno ha effettivamente verificato l'output di lsof | grep libc? Corrisponde a un sacco di librerie tra cui libcurl, libcups, libcairo ecc. Grepping per libc-sembra produrre i risultati corretti.

È un metodo piuttosto rotondo e impreciso. Come posso rilevare i processi in esecuzione usando un pacchetto di libreria? Ad ogni modo, per glibc, la risposta è praticamente ogni processo. Ciò che sarebbe utile sarebbe sapere quali processi sono rimasti con la vecchia copia e questo comando non te lo dirà.
Gilles 'SO- smetti di essere malvagio' il

7

Sì, quindi i processi che dipendono dalla vecchia versione di glibc ricominciano con la nuova versione della libreria. Anche i programmi staticamente collegati devono essere ricompilati per questo motivo.


Il collegamento statico è probabilmente raro, date le interazioni delle funzioni DNS con NSS, glibc e i pregiudizi storici dell'ex manutentore glibc .
mr.spuratic,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.