GHOST kerentanan glibc (CVE-2015-0235): apakah diperlukan untuk me-restart server setelah peningkatan glibc?

Saya ingin memperbarui glibc menurut RedHat: https://rhn.redhat.com/errata/RHSA-2015-0090.html

Apakah diperlukan restart server setelah pemutakhiran glibc?

vulnerabilities ghost glibc Michael
sumber

Jawaban:

Restart tidak diperlukan secara teknis , karena hanya program yang menggunakan glibc yang perlu direstart, dan kernel tidak menggunakan glibc.

Yang sedang berkata, me-restart semua yang menggunakan glibc cukup luas bahwa Anda mungkin juga reboot .

Misalnya, /sbin/initgunakan glibc. Namun restart itu sepele (jalankan init usebagai root).

gowenfawr
sumber

OTOH Saya sangat ragu itu initrentan karena CVE :)

Erbureth mengatakan Reinstate Monica

@Erbureth, saya setuju, tapi saya pikir "Saya pikir program ini rentan, saya pikir program itu bukan" adalah "permainan yang aneh. Satu-satunya langkah yang menang bukanlah bermain."

gowenfawr

sysvinit aman (tidak ada panggilan DNS, dan sering tetapi tidak selalu terhubung secara statis juga). systemdtampaknya memiliki resolver-nya sendiri. Dalam pengalaman saya mengganti pustaka yang digunakan oleh proses yang berjalan lama dapat menyebabkan ketidakstabilan. Reboot, dan berbahagialah.

mr.spuratic

sysvinit dapat dimulai kembali. Keluarkan perintah init u dan itu akan exec / sbin / init.

Joshua

FYI: Restart init tanpa memulai ulang sistem

Gilles 'SO- stop being evil'

Jika Anda senang memulai kembali layanan individual yang menggunakan pustaka rentan secara manual, Anda dapat menjalankan perintah ini dan memulai kembali proses yang terdaftar:

# lsof | awk '/libc-/ {print $1}' | sort -u

Anda mungkin akan lebih mudah untuk me-restart mesin sepenuhnya.

akta02392
sumber

lsof | awk '/DEL.*libc/{print $1}' | sort -uuntuk mencocokkan hanya pada mereka yang menautkan ke libc yang sekarang dihapus (setelah pembaruan).

sch

Apakah ada yang benar-benar memeriksa output lsof | grep libc? Ini cocok dengan satu ton perpustakaan termasuk libcurl, libcups, libcairo dll. Grepping libc-sepertinya menghasilkan hasil yang benar.

Itu adalah metode yang sangat tidak akurat dan tidak tepat. Bagaimana cara mendeteksi proses yang sedang berjalan menggunakan paket perpustakaan? Pokoknya, untuk glibc, jawabannya cukup banyak setiap proses. Apa yang akan berguna untuk mengetahui proses mana yang tersisa dengan salinan lama, dan perintah ini tidak akan memberi tahu Anda.

Gilles 'SANGAT berhenti menjadi jahat'

Ya, jadi proses yang bergantung pada versi lama glibc mulai lagi dengan versi baru perpustakaan. Program yang terhubung secara statis juga perlu dikompilasi ulang untuk alasan ini.

Ohnana
sumber

Menghubungkan statis mungkin jarang terjadi, mengingat interaksi fungsi DNS dengan NSS, glibc dan bias historis dari mantan pengelola glibc .

mr.spuratic