Comment patcher CVE-2015-0235 (GHOST) sur Debian 7 (Wheezy)?


8

Cette vulnérabilité a été trouvée dans glibc, consultez cet article de pirate pour plus d'informations.

Comme décrit dans le suivi des bogues Debian , la vulnérabilité a déjà été corrigée lors des tests et instable.

J'aimerais le patcher le plus tôt possible, est-il donc possible d'installer le paquet patché à partir d'une de ces versions et si oui, comment puis-je le faire?

Réponses:


13

Non, l'installation de packages à partir d'une mauvaise version de distribution n'est pas sûre . Malgré cela, les gens semblent le faire tout le temps (et cassent généralement leurs systèmes de manière amusante). En particulier, la glibc est le package le plus critique du système; tout est construit contre lui, et si son ABI est changé, alors tout devrait être reconstruit contre lui. Vous ne devez pas vous attendre à ce qu'un logiciel construit avec une version de glibc fonctionne lorsqu'une autre version est présente.

Et de toute façon, cette vulnérabilité existe depuis plus de 14 ans, et malgré tous les cris et les cris à son sujet, elle nécessite un ensemble assez restreint de circonstances à exploiter. Attendre un jour ou deux pour un correctif correct ne sera probablement pas un problème.


5

Tout d'abord, ne paniquez pas! Les développeurs Debian publieront un paquet mis à jour dès que possible, donc tout ce que vous avez à faire est de mettre à niveau une fois le correctif publié. Pour savoir s'il a été publié, veuillez ne pas exécuter la mise à jour apt-get toutes les 5 minutes, mais abonnez-vous à https://lists.debian.org/debian-security-announce/ et attendez simplement que l'e-mail atteigne votre boîte de réception.


1

La mise à jour pour glibc est déjà disponible dans les mises à jour de sécurité pour debian 7. Vérifiez si les mises à jour de sécurité sont activées dans sources.list. Je vais mettre à jour mes serveurs ce soir.


-2

Essayez ceci pour installer libc6:

sudo apt-get install libc6

puis vérifiez-le:

apt-cache policy libc6

Vous devrez peut-être redémarrer votre serveur après l'avoir installé.


-3

Désactivez l' UseDNSoption dans votre configuration SSHD.


Une raison particulière pour laquelle cela a été rétrogradé? N'aide pas à atténuer les fantômes?
WooDzu

2
Trop de packages peuvent être affectés par ce bogue, par exemple exim4 semble être vulnérable à ce problème. Cependant, selon Qualys, les packages suivants ne sont pas vulnérables: apache, cups, dovecot, gnupg, isc-dhcp, lighttpd, mariadb/mysql, nfs-utils, nginx, nodejs, openldap, openssh, postfix, proftpd, pure-ftpd, rsyslog, samba, sendmail, sysklogd, syslog-ng, tcp_wrappers, vsftpd, xinetd( seclists.org/oss-sec/2015/q1/283 )
Tombart
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.