Патч Glibc для уязвимости getaddrinfo()

Question

Если вы используете любой достаточно хорошо поддерживаемый дистрибутив, вам не нужен сам оригинальный патч. Большинство дистрибутивов уже обновили libc и добавили его в свои репозитории, и все, что вам нужно сделать, это использовать менеджер пакетов для обновления libc. (Если они этого еще не сделали, серьезно подумайте о смене дистрибутивов.) И это действительно касается Amazon Linux. Отих бюллетени безопасности:

[К]лиенты, использующие Amazon EC2, которые изменили свои конфигурации для использования инфраструктуры DNS, отличной от AWS, должны немедленно обновить свои среды Linux, следуя указаниям, предоставленным их дистрибутивом Linux. Клиенты EC2, использующие инфраструктуру DNS AWS, не затронуты и не должны предпринимать никаких действий.

Для клиентов Amazon EC2, использующих Amazon Linux и изменивших свою конфигурацию для использования инфраструктуры DNS, отличной от AWS:

Исправление для CVE-2015-7547 было отправлено в репозитории Amazon Linux AMI с уровнем серьезности Critical. Экземпляры, запущенные с конфигурацией Amazon Linux по умолчанию 2016/02/16 или позже, будут автоматически включать требуемое исправление для этого CVE.

Если хотите взглянуть на патч, то это часть, с которой начинается diff --git a/resolv/nss_dns/dns-host.c b/resolv/nss_dns/dns-host.cэлектронное письмо:

CVE-2015-7547

2016-02-15  Carlos O'Donell  

    [BZ #18665]
    * resolv/nss_dns/dns-host.c (gaih_getanswer_slice): Always set
    *herrno_p.
    (gaih_getanswer): Document functional behviour. Return tryagain
    if any result is tryagain.
    * resolv/res_query.c (__libc_res_nsearch): Set buffer size to zero
    when freed.
    * resolv/res_send.c: Add copyright text.
    (__libc_res_nsend): Document that MAXPACKET is expected.
    (send_vc): Document. Remove buffer reuse.
    (send_dg): Document. Remove buffer reuse. Set *thisanssizp to set the
    size of the buffer. Add Dprint for truncated UDP buffer.

diff --git a/resolv/nss_dns/dns-host.c b/resolv/nss_dns/dns-host.c
index a255d5e..47cfe27 100644
--- a/resolv/nss_dns/dns-host.c
+++ b/resolv/nss_dns/dns-host.c
@@ -1031,7 +1031,10 @@ gaih_getanswer_slice (const querybuf *answer, int anslen, const char *qname,
   int h_namelen = 0;

   if (ancount == 0)
-    return NSS_STATUS_NOTFOUND;
+    {
+      *h_errnop = HOST_NOT_FOUND;
+      return NSS_STATUS_NOTFOUND;
+    }

...

Answer 1

Если вы используете любой достаточно хорошо поддерживаемый дистрибутив, вам не нужен сам оригинальный патч. Большинство дистрибутивов уже обновили libc и добавили его в свои репозитории, и все, что вам нужно сделать, это использовать менеджер пакетов для обновления libc. (Если они этого еще не сделали, серьезно подумайте о смене дистрибутивов.) И это действительно касается Amazon Linux. Отих бюллетени безопасности:

[К]лиенты, использующие Amazon EC2, которые изменили свои конфигурации для использования инфраструктуры DNS, отличной от AWS, должны немедленно обновить свои среды Linux, следуя указаниям, предоставленным их дистрибутивом Linux. Клиенты EC2, использующие инфраструктуру DNS AWS, не затронуты и не должны предпринимать никаких действий.

Для клиентов Amazon EC2, использующих Amazon Linux и изменивших свою конфигурацию для использования инфраструктуры DNS, отличной от AWS:

Исправление для CVE-2015-7547 было отправлено в репозитории Amazon Linux AMI с уровнем серьезности Critical. Экземпляры, запущенные с конфигурацией Amazon Linux по умолчанию 2016/02/16 или позже, будут автоматически включать требуемое исправление для этого CVE.

Если хотите взглянуть на патч, то это часть, с которой начинается diff --git a/resolv/nss_dns/dns-host.c b/resolv/nss_dns/dns-host.cэлектронное письмо:

CVE-2015-7547

2016-02-15  Carlos O'Donell  

    [BZ #18665]
    * resolv/nss_dns/dns-host.c (gaih_getanswer_slice): Always set
    *herrno_p.
    (gaih_getanswer): Document functional behviour. Return tryagain
    if any result is tryagain.
    * resolv/res_query.c (__libc_res_nsearch): Set buffer size to zero
    when freed.
    * resolv/res_send.c: Add copyright text.
    (__libc_res_nsend): Document that MAXPACKET is expected.
    (send_vc): Document. Remove buffer reuse.
    (send_dg): Document. Remove buffer reuse. Set *thisanssizp to set the
    size of the buffer. Add Dprint for truncated UDP buffer.

diff --git a/resolv/nss_dns/dns-host.c b/resolv/nss_dns/dns-host.c
index a255d5e..47cfe27 100644
--- a/resolv/nss_dns/dns-host.c
+++ b/resolv/nss_dns/dns-host.c
@@ -1031,7 +1031,10 @@ gaih_getanswer_slice (const querybuf *answer, int anslen, const char *qname,
   int h_namelen = 0;

   if (ancount == 0)
-    return NSS_STATUS_NOTFOUND;
+    {
+      *h_errnop = HOST_NOT_FOUND;
+      return NSS_STATUS_NOTFOUND;
+    }

...

Патч Glibc для уязвимости getaddrinfo()

решение1

Связанный контент