Como corrigir o CVE-2015-0235 (GHOST) no debian 7 (wheezy)?

8

Esta vulnerabilidade foi encontrada na glibc, consulte esta publicação de hackers para obter mais informações.

Como descrito no rastreador de erros da debian , a vulnerabilidade já estava corrigida nos testes e instável.

Gostaria de corrigi-lo o mais cedo possível, para que seja possível instalar o pacote corrigido de uma dessas versões e, em caso afirmativo, como posso fazer isso?

twall
fonte

Respostas:

13

Não, a instalação de pacotes a partir da versão de distribuição incorreta não é segura . Apesar disso, as pessoas parecem fazer isso o tempo todo (e geralmente quebram seus sistemas de maneiras divertidas). Em particular, o glibc é o pacote mais crítico no sistema; tudo é construído contra ele, e se sua ABI for alterada, tudo terá que ser reconstruído contra ele. Você não deve esperar que o software criado com base em uma versão do glibc funcione quando outra versão estiver presente.

De qualquer forma, essa vulnerabilidade existe há mais de 14 anos e, apesar de todos os gritos e gritos, requer um conjunto de circunstâncias bastante restrito para ser explorado. Esperar um dia ou dois por um patch adequado provavelmente não será um problema.

Michael Hampton
fonte
5

Primeiro de tudo, não entre em pânico! Os debian devs lançam um pacote atualizado o mais rápido possível, então tudo o que você precisa fazer é atualizar após o lançamento do patch. Para descobrir se foi lançado, não execute o apt-get update a cada 5 minutos, mas assine https://lists.debian.org/debian-security-announce/ e simplesmente espere o e-mail chegar à sua caixa de entrada.

Han
fonte
1

A atualização para glibc já está disponível nas atualizações de segurança do debian 7. Verifique se as atualizações de segurança estão ativadas no sources.list. Vou atualizar meus servidores esta noite.

remort
fonte
-2

Tente instalar o libc6:

sudo apt-get install libc6

depois verifique:

apt-cache policy libc6

Pode ser necessário reiniciar o servidor após a instalação.

Kevin Nguyen
fonte
-3

Desative a UseDNSopção na sua configuração SSHD.

Ehsan XiaolinMonk Mahmood
fonte
Alguma razão específica para isso ter sido desclassificado? Não ajuda a mitigar fantasmas?
WooDzu 28/01
2
Muitos pacotes podem ser afetados por esse bug, por exemplo, exim4 parece estar vulnerável a esse problema. No entanto, de acordo com a Qualys, os seguintes pacotes não são vulneráveis: apache, cups, dovecot, gnupg, isc-dhcp, lighttpd, mariadb/mysql, nfs-utils, nginx, nodejs, openldap, openssh, postfix, proftpd, pure-ftpd, rsyslog, samba, sendmail, sysklogd, syslog-ng, tcp_wrappers, vsftpd, xinetd( seclists.org/oss-sec/2015/q1/283 )
Tombart