Vulnerabilidade glibc GHOST (CVE-2015-0235): é necessário reiniciar um servidor após a atualização glibc?

Respostas:

23

Tecnicamente , não é necessário reiniciar , pois somente programas que usam glibc precisam ser reiniciados e o kernel não usa glibc.

Dito isto, reiniciar tudo o que usa glibc é suficientemente amplo para que você possa apenas reiniciar .

Por exemplo, /sbin/initusa glibc. No entanto, reiniciar é trivial (executado init ucomo root).

gowenfawr
fonte
3
OTOH Eu duvido seriamente que initseja vulnerável devido ao CVE :)
Erbureth diz Reinstate Monica
11
@ Erbureth, concordo, mas acho que "acho que esse programa é vulnerável, acho que esse programa não é" é "um jogo estranho. A única jogada vencedora é não jogar".
precisa saber é o seguinte
O sysvinit é seguro (sem chamadas DNS e, muitas vezes, mas nem sempre, vinculado estaticamente). systemdparece ter um resolvedor próprio. Na minha experiência, a substituição de bibliotecas usadas por processos de longa execução pode causar instabilidades. Reinicie e seja feliz.
precisa saber é o seguinte
2
O sysvinit pode ser reiniciado. Emita o comando init u e ele executará / sbin / init.
Joshua Joshua
FYI: Reiniciando o init sem reiniciar o sistema
Gilles 'SO- stop be evil'
9

Se você estiver satisfeito com a reinicialização manual de serviços individuais que estão usando a biblioteca vulnerável, poderá executar este comando e reiniciar os processos listados:

# lsof | awk '/libc-/ {print $1}' | sort -u

Você provavelmente descobrirá que será mais fácil reiniciar completamente a máquina.

deed02392
fonte
9
lsof | awk '/DEL.*libc/{print $1}' | sort -upara corresponder apenas àqueles vinculados à libc agora excluída (após a atualização).
sch 28/01
2
Alguém realmente verificou a saída de lsof | grep libc? Ele corresponde a uma tonelada de bibliotecas, incluindo libcurl, libcups, libcairo etc. Grepping for libc-parece produzir os resultados corretos.
Esse é um método bastante indireto e impreciso. Como detecto processos em execução usando um pacote de biblioteca? De qualquer forma, para a glibc, a resposta é praticamente todo processo. O que seria útil seria saber quais processos são deixados com a cópia antiga e esse comando não informa.
Gilles 'SO- stop be evil'
7

Sim, então os processos que dependem da versão antiga do glibc começam novamente com a nova versão da biblioteca. Programas estaticamente vinculados também precisam ser recompilados por esse motivo.

Ohnana
fonte
A vinculação estática é provavelmente rara, considerando as interações das funções DNS com o NSS, glibc e os vieses históricos do antigo mantenedor da glibc .
precisa saber é o seguinte