GHOST-Glibc-Sicherheitsanfälligkeit (CVE-2015-0235): Muss ein Server nach dem Glibc-Upgrade neu gestartet werden?

Antworten:

23

Ein Neustart ist technisch nicht erforderlich , da nur Programme, die glibc verwenden, neu gestartet werden müssen und der Kernel glibc nicht verwendet.

Abgesehen davon ist der Neustart von allem , was glibc verwendet, so umfangreich, dass Sie auch einfach einen Neustart durchführen können .

Zum Beispiel /sbin/initverwendet glibc. Ein Neustart ist jedoch trivial ( init uals root ausführen ).

Gowenfawr
quelle
3
OTOH Ich bezweifle ernsthaft, dass initaufgrund der CVE anfällig ist :)
Erbureth sagt Reinstate Monica
11
@Erbureth, ich stimme zu, aber ich denke, "Ich denke, dieses Programm ist anfällig, ich denke , das Programm ist nicht", ist "ein seltsames Spiel. Der einzige Gewinnzug ist, nicht zu spielen."
Gowenfawr
sysvinit ist sicher (keine DNS-Aufrufe und oft, aber nicht immer auch statisch verknüpft). systemdscheint einen eigenen Resolver zu haben. Nach meiner Erfahrung kann das Ersetzen von Bibliotheken, die von lang laufenden Prozessen verwendet werden, zu Instabilitäten führen. Starten Sie neu und seien Sie glücklich.
mr.spuratic
2
sysvinit kann neu gestartet werden. Geben Sie den Befehl init u ein und es wird / sbin / init ausgeführt.
Joshua
Zu Ihrer Information
Gilles 'SO - hören Sie auf, böse zu sein'
9

Wenn Sie mit dem manuellen Neustart einzelner Dienste, die die anfällige Bibliothek verwenden, zufrieden sind, können Sie diesen Befehl ausführen und die aufgelisteten Prozesse neu starten:

# lsof | awk '/libc-/ {print $1}' | sort -u

Sie werden wahrscheinlich feststellen, dass es einfacher ist, den Computer vollständig neu zu starten.

deed02392
quelle
9
lsof | awk '/DEL.*libc/{print $1}' | sort -unur auf diejenigen zutreffen, die auf die nun gelöschte (nach dem update) libc verlinken .
sch
2
Hat jemand tatsächlich die Ausgabe von überprüft lsof | grep libc? Es passt zu einer Tonne von Bibliotheken, einschließlich libcurl, libcups, libcairo usw. Das Greifen nach libc-scheint die richtigen Ergebnisse zu liefern.
Das ist ein ziemlich umständlicher und ungenauer Weg. Wie erkenne ich laufende Prozesse mithilfe eines Bibliothekspakets? Wie auch immer, für glibc ist die Antwort so ziemlich jeder Prozess. Was nützlich wäre, wäre zu wissen, welche Prozesse mit der alten Kopie übrig bleiben, und dieser Befehl sagt es Ihnen nicht.
Gilles 'SO - hör auf, böse zu sein'
7

Ja, daher beginnen die Prozesse, die von der alten Version von glibc abhängen, erneut mit der neuen Version der Bibliothek. Statisch verknüpfte Programme müssen aus diesem Grund ebenfalls neu kompiliert werden.

Ohnana
quelle
Statische Verknüpfungen sind jedoch aufgrund der Wechselwirkungen von DNS-Funktionen mit NSS, glibc und den historischen Vorurteilen des früheren Betreuers von glibc wahrscheinlich selten .
mr.spuratic