Einführung
Am 27. Januar 2015 wurde der Öffentlichkeit eine Sicherheitsanfälligkeit in der GNU C Library (glibc), die als GHOST-Sicherheitsanfälligkeit bezeichnet wird, gemeldet. Zusammenfassend lässt sich sagen, dass die Sicherheitsanfälligkeit es Angreifern von Remotestandorten aus ermöglicht, die vollständige Kontrolle über ein System zu erlangen, indem ein Pufferüberlauffehler in den G et * HOST * -Funktionen von glibc ausgenutzt wird (daher der Name). Wie Shellshock und Heartbleed ist diese Sicherheitsanfälligkeit schwerwiegend und betrifft viele Server.
Die GHOST-Sicherheitslücke kann auf Linux-Systemen ausgenutzt werden, die Versionen der GNU C-Bibliothek vor + glibc-2.18 + verwenden. Das heißt, Systeme, die eine * ungepatchte * Version von glibc von + 2.2 + bis + 2.17 + verwenden, sind gefährdet. Viele Linux-Distributionen, unter anderem die folgenden, sind potenziell anfällig für GHOST und sollten gepatcht werden:
-
CentOS 6 & 7
-
Debian 7
-
Red Hat Enterprise Linux 6 und 7
-
Ubuntu 10.04 & 12.04
-
End-of-Life-Linux-Distributionen
Es wird dringend empfohlen, alle betroffenen Linux-Server zu aktualisieren und neu zu starten. Wir zeigen Ihnen, wie Sie testen, ob Ihre Systeme anfällig sind, und wie Sie glibc aktualisieren, um die Anfälligkeit zu beheben.
Überprüfen Sie die Systemanfälligkeit
Der einfachste Weg, um zu testen, ob Ihre Server für GHOST anfällig sind, besteht darin, die verwendete Version von glibc zu überprüfen. Wir werden beschreiben, wie dies in Ubuntu, Debian, CentOS und RHEL gemacht wird.
Beachten Sie, dass Binärdateien, die statisch mit der anfälligen glibc verknüpft sind, zur Sicherheit neu kompiliert werden müssen. Dieser Test deckt diese Fälle nicht ab, sondern nur die GNU C-Bibliothek des Systems.
Ubuntu & Debian
Überprüfen Sie die Version glibc, indem Sie die Version von + ldd + (die glibc verwendet) wie folgt nachschlagen:
ldd --versionDie erste Zeile der Ausgabe enthält die Version von eglibc, die Variante von glibc, die Ubuntu und Debian verwenden. Es könnte zum Beispiel so aussehen (die Version ist in diesem Beispiel hervorgehoben):
ldd (Ubuntu EGLIBC ) 2.15
Copyright (C) 2012 Free Software Foundation, Inc.
This is free software; see the source for copying conditions. There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.
Written by Roland McGrath and Ulrich Drepper.Wenn die Version von eglibc mit den hier aufgelisteten Versionen übereinstimmt oder aktueller ist als diese, sind Sie vor der GHOST-Sicherheitsanfälligkeit sicher:
-
Ubuntu 12.04 LTS:
+ 2.15-0ubuntu10.10 + -
Ubuntu 10.04 LTS:
+ 2.11.1-0ubuntu7.20 + -
Debian 7 LTS:
+ 2.13-38 + deb7u7 +
Wenn die Version von eglibc * älter ist als * die hier aufgelisteten, ist Ihr System für GHOST anfällig und sollte aktualisiert werden.
CentOS & RHEL
Überprüfen Sie die Version mit + rpm +:
rpm -q glibcDie Ausgabe sollte folgendermaßen aussehen, mit dem Paketnamen, gefolgt von Versionsinformationen:
glibc-.el6_5.4.x86_64Wenn die Version von glibc mit den hier aufgelisteten Versionen übereinstimmt oder neuer ist als diese, sind Sie vor der Sicherheitsanfälligkeit GHOST sicher:
-
CentOS 6:
+ glibc-.el6_6.5 + -
CentOS 7:
+ glibc-.el7_0.5 + -
RHEL 5:
+ glibc-.el5_11.1 + -
RHEL 6:
+ glibc-.el6_6.5 + -
RHEL 7:
+ glibc-.el7_0.5 +
Wenn die Version von glibc * älter ist als * die hier aufgelisteten, ist Ihr System für GHOST anfällig und sollte aktualisiert werden.
Behobene Sicherheitslücke
Die einfachste Möglichkeit, die GHOST-Sicherheitsanfälligkeit zu beheben, besteht darin, die Version von glibc mit Ihrem Standardpaket-Manager zu aktualisieren. Die folgenden Unterabschnitte behandeln die Aktualisierung von glibc auf verschiedenen Linux-Distributionen, einschließlich Ubuntu, Debian, CentOS und Red Hat.
APT-GET: Ubuntu / Debian
Aktualisieren Sie für derzeit unterstützte Versionen von Ubuntu oder Debian alle Ihre Pakete auf die neueste Version, die über "+ apt-get dist-upgrade +" verfügbar ist:
sudo apt-get update && sudo apt-get dist-upgradeBeantworten Sie anschließend die Sicherheitsabfrage mit + y +.
Wenn die Aktualisierung abgeschlossen ist, starten Sie den Server mit dem folgenden Befehl neu:
sudo rebootEin Neustart ist erforderlich, da die GNU C-Bibliothek von vielen Anwendungen verwendet wird, die neu gestartet werden müssen, um die aktualisierte Bibliothek zu verwenden.
Stellen Sie jetzt sicher, dass Ihr System nicht mehr anfällig ist, indem Sie den Anweisungen im vorherigen Abschnitt (Überprüfen der Systemanfälligkeit) folgen.
YUM: CentOS / RHEL
Aktualisiere glibc auf die neueste verfügbare Version via + yum +:
sudo yum update glibcBeantworten Sie anschließend die Sicherheitsabfrage mit + y +.
Wenn die Aktualisierung abgeschlossen ist, starten Sie den Server mit dem folgenden Befehl neu:
sudo rebootEin Neustart ist erforderlich, da die GNU C-Bibliothek von vielen Anwendungen verwendet wird, die neu gestartet werden müssen, um die aktualisierte Bibliothek zu verwenden.
Stellen Sie jetzt sicher, dass Ihr System nicht mehr anfällig ist, indem Sie den Anweisungen im vorherigen Abschnitt (Überprüfen der Systemanfälligkeit) folgen.
Fazit
Stellen Sie sicher, dass Sie glibc auf allen betroffenen Linux-Servern aktualisieren. Achten Sie auch darauf, Ihre Server mit den neuesten Sicherheitsupdates auf dem neuesten Stand zu halten!