¿Cómo parchear CVE-2015-0235 (GHOST) en debian 7 (wheezy)?

8

Esta vulnerabilidad se encontró en glibc, consulte esta publicación de noticias de hackers para obtener más información.

Como se describe en el rastreador de errores de Debian , la vulnerabilidad ya estaba parcheada en las pruebas e inestable.

Me gustaría parchearlo lo antes posible, por lo que es posible instalar el paquete parcheado desde una de esas versiones y, en caso afirmativo, ¿cómo puedo hacerlo?

debian  package-management  vulnerabilities  vulnerability 
twall
fuente

Respuestas:

13

No, la instalación de paquetes desde la versión de distribución incorrecta no es segura . A pesar de eso, las personas parecen hacerlo todo el tiempo (y generalmente rompen sus sistemas de manera divertida). En particular, glibc es el paquete más crítico del sistema; todo está construido en su contra, y si se cambia su ABI, entonces todo tendría que ser reconstruido en su contra. No debe esperar que el software creado contra una versión de glibc funcione cuando hay otra versión presente.

Y de todos modos, esta vulnerabilidad ha existido durante más de 14 años, y a pesar de todos los gritos y alaridos al respecto, requiere un conjunto bastante limitado de circunstancias para explotar. Es probable que esperar un día o dos para obtener un parche adecuado no sea un problema.

Michael Hampton
fuente
5

En primer lugar, no se asuste! Los desarrolladores de Debian lanzarán un paquete actualizado tan pronto como sea posible, por lo que todo lo que tiene que hacer es actualizar después de que se haya lanzado el parche. Para saber si se ha lanzado, no ejecute apt-get update cada 5 minutos, sino suscríbase a https://lists.debian.org/debian-security-announce/ y simplemente espere a que el correo electrónico llegue a su bandeja de entrada.

Han
fuente
1

La actualización para glibc ya está disponible en las actualizaciones de seguridad para debian 7. Compruebe si las actualizaciones de seguridad están habilitadas en sources.list. Voy a actualizar mis servidores esta noche.

remort
fuente
-2

Pruebe esto para instalar libc6:

sudo apt-get install libc6

luego verifíquelo:

apt-cache policy libc6

Es posible que deba reiniciar su servidor después de instalarlo.

Kevin Nguyen
fuente
-3

Desactive la UseDNSopción en su configuración SSHD.

Ehsan XiaolinMonk Mahmood
fuente
¿Alguna razón particular por la que esto fue degradado? ¿No ayuda a mitigar fantasmas?
WooDzu
2
Demasiados paquetes pueden verse afectados por este error, por ejemplo, exim4 parece ser vulnerable a este problema. Sin embargo, según Qualys, los siguientes paquetes no son vulnerables: apache, cups, dovecot, gnupg, isc-dhcp, lighttpd, mariadb/mysql, nfs-utils, nginx, nodejs, openldap, openssh, postfix, proftpd, pure-ftpd, rsyslog, samba, sendmail, sysklogd, syslog-ng, tcp_wrappers, vsftpd, xinetd( seclists.org/oss-sec/2015/q1/283 )
Tombart
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.