Wie kann ich CVE-2015-0235 (GHOST) auf Debian 7 (Keuchen) patchen?

8

Diese Sicherheitsanfälligkeit wurde in glibc gefunden. Weitere Informationen finden Sie in diesem Hacker- Newspost.

Wie im Debian-Bug-Tracker beschrieben , wurde die Sicherheitsanfälligkeit bereits beim Testen gepatcht und instabil.

Ich möchte es so früh wie möglich patchen. Ist es also möglich, das gepatchte Paket von einer dieser Versionen zu installieren, und wenn ja, wie kann ich das tun?

zwei
quelle

Antworten:

13

Nein, die Installation von Paketen aus der falschen Distributionsversion ist nicht sicher . Trotzdem scheinen die Leute es die ganze Zeit zu tun (und brechen normalerweise ihre Systeme auf amüsante Weise). Insbesondere ist glibc das kritischste Paket im System. Alles ist dagegen gebaut, und wenn sein ABI geändert wird, müsste alles dagegen aufgebaut werden. Sie sollten nicht erwarten, dass Software, die für eine Version von glibc erstellt wurde, funktioniert, wenn eine andere Version vorhanden ist.

Und trotzdem gibt es diese Sicherheitsanfälligkeit seit über 14 Jahren, und trotz all des Schreiens und Schreiens erfordert sie eine ziemlich enge Reihe von Umständen, um sie auszunutzen. Ein oder zwei Tage auf einen richtigen Patch zu warten, ist wahrscheinlich kein Problem.

Michael Hampton
quelle
5

Zunächst einmal keine Panik! Die Debian-Entwickler werden so schnell wie möglich ein aktualisiertes Paket veröffentlichen. Sie müssen also nur ein Upgrade durchführen, nachdem der Patch veröffentlicht wurde. Um herauszufinden, ob es veröffentlicht wurde, führen Sie das apt-get-Update nicht alle 5 Minuten aus, sondern abonnieren Sie https://lists.debian.org/debian-security-announce/ und warten Sie einfach, bis die E-Mail in Ihrem Posteingang eingeht.

Han
quelle
1

Das Update für glibc ist bereits in Sicherheitsupdates für Debian 7 verfügbar. Überprüfen Sie, ob Sicherheitsupdates in der Datei source.list aktiviert sind. Ich werde heute Abend meine Server aktualisieren.

remort
quelle
-2

Versuchen Sie dies, um libc6 zu installieren:

sudo apt-get install libc6

dann überprüfe es:

apt-cache policy libc6

Möglicherweise müssen Sie Ihren Server nach der Installation neu starten.

Kevin Nguyen
quelle
-3

Deaktivieren Sie die UseDNSOption in Ihrer SSHD-Konfiguration.

Ehsan XiaolinMonk Mahmood
quelle
Gibt es einen bestimmten Grund, warum dies abgelehnt wurde? Hilft nicht, Geister zu mildern?
WooDzu
2
Möglicherweise sind zu viele Pakete von diesem Fehler betroffen. Beispielsweise scheint exim4 für dieses Problem anfällig zu sein. Laut Qualys sind folgende Pakete jedoch nicht anfällig: apache, cups, dovecot, gnupg, isc-dhcp, lighttpd, mariadb/mysql, nfs-utils, nginx, nodejs, openldap, openssh, postfix, proftpd, pure-ftpd, rsyslog, samba, sendmail, sysklogd, syslog-ng, tcp_wrappers, vsftpd, xinetd( seclists.org/oss-sec/2015/q1/283 )
Tombart