GHOST glibcの脆弱性(CVE-2015-0235):glibcのアップグレード後にサーバーを再起動する必要がありますか?


回答:


23

glibcを使用するプログラムのみを再起動する必要があり、カーネルはglibcを使用しないため、再起動は技術的には 必要ありません。

そうは言っても、glibcを使用するすべてを再起動することは十分に広いので、単に再起動することもできます

たとえば、/sbin/initglibcを使用します。ただし、再起動は簡単です(init urootとして実行)。


3
OTOH initCVEのせいで脆弱であることを真剣に疑っています:)
Erburethは、Reinstate Monica

11
@Erbureth、私は同意しますが、「このプログラムは脆弱だと思いますが、プログラムはそうはないと思います」は「奇妙なゲームです。勝つ唯一の動きはプレイしないことです」と思います。
gowenfawr

sysvinitは安全です(DNS呼び出しはありませんが、静的ではない場合がよくあります)。systemd独自のリゾルバを持っているようです。私の経験では、長時間実行されるプロセスで使用されるライブラリを置き換えると、不安定になる可能性があります。再起動し、幸せになります。
mr.spuratic

2
sysvinitを再起動できます。コマンドinit uを発行すると、/ sbin / initが実行されます。
ジョシュア


9

脆弱なライブラリを使用している個々のサービスを手動で再起動することに満足している場合は、このコマンドを実行して、リストされているプロセスを再起動できます。

# lsof | awk '/libc-/ {print $1}' | sort -u

おそらく、マシンを完全に再起動する方が簡単でしょう。


9
lsof | awk '/DEL.*libc/{print $1}' | sort -u削除された(更新後)libcにリンクするものにのみ一致します。
SCH

2
誰もが実際に出力を確認しましたlsof | grep libcか?libcurl、libcups、libcairoなどを含む多数のライブラリーに一致します。グレッピングlibc-は正しい結果を生成するようです。

それはかなり回り道で不正確な方法です。ライブラリパッケージを使用して実行中のプロセスを検出するにはどうすればよいですか?とにかく、glibcの場合、答えはほとんどすべてのプロセスです。役に立つのは、どのプロセスが古いコピーで残されているかを知ることであり、このコマンドはあなたに教えません。
ジル 'SO-悪であるのをやめる'

7

はい。したがって、古いバージョンのglibcに依存するプロセスは、新しいバージョンのライブラリで再び開始されます。このため、静的にリンクされたプログラムも再コンパイルする必要があります。


ただし、DNS機能とNSS、glibcとの相互作用、および以前のglibcメンテナーの歴史的なバイアスを考えると、静的リンクはおそらくまれです。
mr.spuratic
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.