Уязвимость glibc в GHOST (CVE-2015-0235): требуется ли перезагрузить сервер после обновления glibc?

3604
Michael

Я хочу обновить glibc в соответствии с RedHat: https://rhn.redhat.com/errata/RHSA-2015-0090.html

Требуется ли перезагрузить сервер после обновления glibc?

13

3 ответа на вопрос

23
gowenfawr

A restart is not technically required, because only programs which use glibc need to be restarted, and the kernel does not use glibc.

That being said, restarting everything that uses glibc is sufficiently broad that you might as well just reboot.

For example, /sbin/init uses glibc. However restarting it is trivial (run init u as root).

OTOH Я серьезно сомневаюсь, что `init` уязвим из-за CVE :) Erbureth 9 лет назад 3
@ Erbureth, я согласен, но я думаю, что «я думаю, что эта программа уязвима, я думаю, что программа не является« странной »игрой. Единственный выигрышный ход - не играть». gowenfawr 9 лет назад 11
sysvinit безопасен (нет DNS-вызовов, и часто, но не всегда также статически связан). `systemd`, похоже, имеет свой собственный распознаватель. По моему опыту, замена библиотек, используемых длительными процессами, может привести к нестабильности. Перезагрузись и будь счастлив. mr.spuratic 9 лет назад 0
sysvinit может быть перезапущен. Выполните команду init u, и она будет exec / sbin / init. Joshua 9 лет назад 2
К вашему сведению: [Перезапуск init без перезапуска системы] (http://unix.stackexchange.com/questions/181782/restarting-init-without-restarting-the-system) Gilles 9 лет назад 0
@gowenfawr Кто-то спрашивал, как играть в игру вчера: http://superuser.com/questions/870805/determine-vulnerable-programs-acted-by-glibcs-ghost-bug Barmar 9 лет назад 0
@ Бармар, чтобы продолжить цитаты из фильма: «Видите, печальная вещь о таком парне через 50 лет, что он собирается что-то подумать сам, и он придумает тот факт, что в жизни есть два уверенных. Один, не делайте этого. И, во-вторых, он потратил много времени и сил, ища кого-то, кто скажет ему ответы и даст ему причудливые сценарии оболочки, чтобы попытаться убедить его в том, что он получит бесплатно, если просто бросит это. перезагрузка ". gowenfawr 9 лет назад 0
9
deed02392

If you are happy with manually restarting individual services that are using the vulnerable library, you can run this command and restart the listed processes:

# lsof | awk '/libc-/ ' | sort -u

You will probably find it will be easier to restart the machine entirely.

`lsof | awk '/DEL.*libc/ndomprint $ 1}' | sort -u` для соответствия только тем, которые ссылаются на теперь _deleted_ (после обновления) libc. sch 9 лет назад 9
Кто-нибудь проверял вывод `lsof | grep libc`? Он соответствует куче библиотек, включая libcurl, libcups, libcairo и т. Д. Похоже, что поиск libc-дает правильные результаты. 9 лет назад 2
Это довольно окольный и неточный метод. [Как обнаружить запущенные процессы с помощью пакета библиотеки?] (Http://unix.stackexchange.com/questions/181697/how-do-i-detect-running-processes-using-a-library-package) В любом случае, для glibc ответ - почти каждый процесс. Было бы полезно узнать, какие процессы остались со старой копией, и эта команда не сообщит вам. Gilles 9 лет назад 0
7
Ohnana

Yes, so the processes that depend on the old version of glibc start again with the new version of the library. Statically linked programs also need to be recompiled for this reason.

Статические ссылки, вероятно, редки, учитывая взаимодействие функций DNS с NSS, glibc и [историческими предубеждениями бывшего сопровождающего glibc] (http://www.akkadia.org/drepper/no_static_linking.html). mr.spuratic 9 лет назад 0

Похожие вопросы