-Sicherheitsl%C3%BCcke.png)
Ich habe viel über die neu entdeckte Sicherheitslücke in der glibc-Bibliothek gelesen, die (wenn auch mit Schwierigkeiten) von Angreifern ausgenutzt werden kann.
Hier ist ein (feuriger und schwefelhaltiger) Artikel zu diesem Thema: http://arstechnica.com/security/2016/02/extremely-severe-bug-leaves-dizzying-number-of-apps-and-devices-vulnerable/
Ich verstehe die Natur der Sicherheitslücke, muss aber zugeben, dass ich beim Lesen der Patch-Lösung etwas verloren bin. Es scheint, dass auf dem Computer mehrere Schritte ausgeführt werden müssen, aber der E-Mail wird ein „Patch“ beigefügt.
Wo genau ist der Patch?
https://sourceware.org/ml/libc-alpha/2016-02/msg00416.html
Es tut mir leid, aber ich bin kein Linux-Systemingenieur (Aptitude und Yum sind meine Kumpels).
Leider verwalte ich für einige Kunden Websites, die meisten davon auf Amazon Linux, und ich habe gelesen, dass diese ebenfalls anfällig sein könnten – nehmen wir an, dass sie es sind.
Ich möchte nur sicherstellen, dass ich die Boxen sichere. Ich kann wahrscheinlich den Patch anwenden, aber ich glaube, das glibc-Mailarchiv verwirrt mich.
Kann irgendjemand Licht ins Dunkel bringen – d. h. es in eine Sprache bringen, die wir einfachen Front-End-Webentwickler verstehen?
Ich weiß, dass dies neu/in der Entwicklung ist. Ich bin sicher, dass in den nächsten Tagen bessere Dokumente verfügbar sein werden.
Dank im Voraus.
Antwort1
Wenn Sie eine einigermaßen gut unterstützte Distribution verwenden, brauchen Sie den Original-Patch nicht. Die meisten Distributionen haben libc inzwischen aktualisiert und in ihre Repositories übertragen, und Sie müssen libc nur noch mit dem Paketmanager aktualisieren. (Wenn sie das noch nicht getan haben, sollten Sie ernsthaft über einen Distributionswechsel nachdenken.) Und das ist bei Amazon Linux tatsächlich der Fall. Vonihre Sicherheitsbulletins:
[K]unden, die Amazon EC2 verwenden und ihre Konfigurationen geändert haben, um eine DNS-Infrastruktur zu verwenden, die nicht von AWS stammt, sollten ihre Linux-Umgebungen umgehend gemäß den Anweisungen ihrer Linux-Distribution aktualisieren. EC2-Kunden, die die AWS DNS-Infrastruktur verwenden, sind hiervon nicht betroffen und müssen nichts unternehmen.
Für Amazon EC2-Kunden, die Amazon Linux verwenden und ihre Konfiguration geändert haben, um eine Nicht-AWS-DNS-Infrastruktur zu verwenden:
Ein Fix für CVE-2015-7547 wurde mit der Schweregradbewertung „Kritisch“ in die Amazon Linux AMI-Repositorys übertragen. Instances, die am oder nach dem 16.02.2016 mit der Standardkonfiguration von Amazon Linux gestartet wurden, enthalten automatisch den erforderlichen Fix für diesen CVE.
Der Patch, falls Sie ihn ansehen möchten, ist der Teil, der diff --git a/resolv/nss_dns/dns-host.c b/resolv/nss_dns/dns-host.cin der E-Mail mit folgendem beginnt:
CVE-2015-7547
2016-02-15 Carlos O'Donell
[BZ #18665]
* resolv/nss_dns/dns-host.c (gaih_getanswer_slice): Always set
*herrno_p.
(gaih_getanswer): Document functional behviour. Return tryagain
if any result is tryagain.
* resolv/res_query.c (__libc_res_nsearch): Set buffer size to zero
when freed.
* resolv/res_send.c: Add copyright text.
(__libc_res_nsend): Document that MAXPACKET is expected.
(send_vc): Document. Remove buffer reuse.
(send_dg): Document. Remove buffer reuse. Set *thisanssizp to set the
size of the buffer. Add Dprint for truncated UDP buffer.
diff --git a/resolv/nss_dns/dns-host.c b/resolv/nss_dns/dns-host.c
index a255d5e..47cfe27 100644
--- a/resolv/nss_dns/dns-host.c
+++ b/resolv/nss_dns/dns-host.c
@@ -1031,7 +1031,10 @@ gaih_getanswer_slice (const querybuf *answer, int anslen, const char *qname,
int h_namelen = 0;
if (ancount == 0)
- return NSS_STATUS_NOTFOUND;
+ {
+ *h_errnop = HOST_NOT_FOUND;
+ return NSS_STATUS_NOTFOUND;
+ }
...