GHOST kerentanan glibc (CVE-2015-0235): apakah diperlukan untuk me-restart server setelah peningkatan glibc?

Jawaban:

23

Restart tidak diperlukan secara teknis , karena hanya program yang menggunakan glibc yang perlu direstart, dan kernel tidak menggunakan glibc.

Yang sedang berkata, me-restart semua yang menggunakan glibc cukup luas bahwa Anda mungkin juga reboot .

Misalnya, /sbin/initgunakan glibc. Namun restart itu sepele (jalankan init usebagai root).

gowenfawr
sumber
3
OTOH Saya sangat ragu itu initrentan karena CVE :)
Erbureth mengatakan Reinstate Monica
11
@Erbureth, saya setuju, tapi saya pikir "Saya pikir program ini rentan, saya pikir program itu bukan" adalah "permainan yang aneh. Satu-satunya langkah yang menang bukanlah bermain."
gowenfawr
sysvinit aman (tidak ada panggilan DNS, dan sering tetapi tidak selalu terhubung secara statis juga). systemdtampaknya memiliki resolver-nya sendiri. Dalam pengalaman saya mengganti pustaka yang digunakan oleh proses yang berjalan lama dapat menyebabkan ketidakstabilan. Reboot, dan berbahagialah.
mr.spuratic
2
sysvinit dapat dimulai kembali. Keluarkan perintah init u dan itu akan exec / sbin / init.
Joshua
FYI: Restart init tanpa memulai ulang sistem
Gilles 'SO- stop being evil'
9

Jika Anda senang memulai kembali layanan individual yang menggunakan pustaka rentan secara manual, Anda dapat menjalankan perintah ini dan memulai kembali proses yang terdaftar:

# lsof | awk '/libc-/ {print $1}' | sort -u

Anda mungkin akan lebih mudah untuk me-restart mesin sepenuhnya.

akta02392
sumber
9
lsof | awk '/DEL.*libc/{print $1}' | sort -uuntuk mencocokkan hanya pada mereka yang menautkan ke libc yang sekarang dihapus (setelah pembaruan).
sch
2
Apakah ada yang benar-benar memeriksa output lsof | grep libc? Ini cocok dengan satu ton perpustakaan termasuk libcurl, libcups, libcairo dll. Grepping libc-sepertinya menghasilkan hasil yang benar.
Itu adalah metode yang sangat tidak akurat dan tidak tepat. Bagaimana cara mendeteksi proses yang sedang berjalan menggunakan paket perpustakaan? Pokoknya, untuk glibc, jawabannya cukup banyak setiap proses. Apa yang akan berguna untuk mengetahui proses mana yang tersisa dengan salinan lama, dan perintah ini tidak akan memberi tahu Anda.
Gilles 'SANGAT berhenti menjadi jahat'
7

Ya, jadi proses yang bergantung pada versi lama glibc mulai lagi dengan versi baru perpustakaan. Program yang terhubung secara statis juga perlu dikompilasi ulang untuk alasan ini.

Ohnana
sumber
Menghubungkan statis mungkin jarang terjadi, mengingat interaksi fungsi DNS dengan NSS, glibc dan bias historis dari mantan pengelola glibc .
mr.spuratic