如何保护 Linux 服务器免受 GHOST 漏洞攻击

介绍

2015 年 1 月 27 日,一个被称为 GHOST 漏洞的 GNU C 图书馆 (glibc) 漏洞被宣布给公众. 总之,该漏洞允许远程攻击者通过利用 glibc 的 GHOST功能中的缓冲过流错误来完全控制系统。

GHOST 漏洞可以被利用在使用glibc-2.18之前的 GNU C 图书馆版本的 Linux 系统上,也就是说,使用2.22.17版本的 glibc 版本的系统有风险。

  • CentOS 6 & 7
  • Debian 7
  • Red Hat Enterprise Linux 6 & 7
  • Ubuntu 10.04 & 12.04
  • 终身 Linux 发行版

强烈建议您更新和重新启动所有受影响的 Linux 服务器,我们将向您展示如何测试您的系统是否易受攻击,如果有,如何更新 glibc 以修复漏洞。

检查系统漏洞

测试您的服务器是否容易受到GHOST的影响的最简单的方法是检查正在使用的 glibc版本,我们将介绍如何在Ubuntu,Debian,CentOS和RHEL中做到这一点。

请注意,与易受攻击的 glibc 静态关联的二进制必须重新编译以使其安全 - 这项测试不涵盖这些情况,只有系统的 GNU C 库。

Ubuntu 和 Debian

檢查 glibc 版本,尋找「ldd」的版本(使用 glibc)如下:

1ldd --version

输出的第一行将包含 eglibc 的版本,这是 Ubuntu 和 Debian 使用的 glibc 的变体. 例如,它可能看起来像这样(这个版本在这个例子中突出):

1ldd (Ubuntu EGLIBC 2.15-0ubuntu10.7) 2.15
2Copyright (C) 2012 Free Software Foundation, Inc.
3This is free software; see the source for copying conditions. There is NO
4warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.
5Written by Roland McGrath and Ulrich Drepper.

如果 eglibc 的版本匹配或比这里列出的版本更新的版本,则您可以免受 GHOST 漏洞的侵害:

  • Ubuntu 12.04 LTS: 2.15-0ubuntu10.10
  • Ubuntu 10.04 LTS: 2.11.1-0ubuntu7.20
  • Debian 7 LTS: 2.13-38+deb7u7

如果 eglibc 的版本比这里列出的版本更老,则您的系统容易受到 GHOST 的攻击,并且应该更新。

CentOS 和 RHEL

檢查「rpm」的 glibc 版本:

1rpm -q glibc

输出应该是这样的,然后是软件名称,然后是版本信息:

1glibc-2.12-1.132.el6_5.4.x86_64

如果 glibc 的版本匹配或比这里列出的版本更新的版本,则您可以免受 GHOST 漏洞的侵害:

  • CentOS 6: glibc-2.12-1.149.el6_6.5
  • CentOS 7: glibc-2.17-55.el7_0.5
  • RHEL 5: glibc-2.5-123.el5_11.1
  • RHEL 6: glibc-2.12-1.149.el6_6.5
  • RHEL 7: glibc-2.17-55.el7_0.5

如果 glibc 的版本比这里列出的版本更老,则您的系统容易受到 GHOST 的攻击,并且应该更新。

修复脆弱性

解决 GHOST 漏洞的最简单方法是使用默认包管理器来更新 glibc 的版本. 以下子部分涵盖在各种 Linux 发行版上更新 glibc,包括 Ubuntu、Debian、CentOS 和 Red Hat。

应用程序:Ubuntu / Debian

对于目前支持的 Ubuntu 或 Debian 版本,请通过apt-get dist-upgrade更新您的所有软件包到最新的版本:

1sudo apt-get update && sudo apt-get dist-upgrade

然后用y回复确认快递。

更新完成后,使用此命令重新启动服务器:

1sudo reboot

重新启动是必要的,因为 GNU C 图书馆被许多必须重新启动的应用程序使用。

现在,通过遵循上一节(检查系统漏洞)中的说明来验证您的系统不再易受攻击。

标签: CentOS / RHEL

更新 glibc 到通过 yum 可用的最新版本:

1sudo yum update glibc

然后用y回复确认快递。

更新完成后,使用此命令重新启动服务器:

1sudo reboot

重新启动是必要的,因为 GNU C 图书馆被许多必须重新启动的应用程序使用。

现在,通过遵循上一节(检查系统漏洞)中的说明来验证您的系统不再易受攻击。

结论

请确保在所有受影响的 Linux 服务器上更新 glibc。

Published At
Categories with 技术
Tagged with
comments powered by Disqus