昨日「glibc」ライブラリに脆弱性、Linuxの大部分に深刻な影響というニュースが話題になっていましたね
仕事でもプライベートでもサーバーを使っているので対応しなくてはならないです。
プライベートでさくらインターネットのVPSを使っているので確認方法と対応手順を説明します。
※OSはデフォルトでインストールされているCentOS、yumによるupdateです。
※反映にはサーバーの再起動が必要です。
※自己責任でお願いします。
そのままにしておくとどうなる?
glibcで「getaddrinfo()」ライブラリ機能が使われた際に、スタックベースのバッファオーバーフローの脆弱性が誘発されることが判明。この機能を使っているソフトウェアは、攻撃者が制御するドメイン名やDNSサーバ、あるいは中間者攻撃を通じて脆弱性を悪用される恐れがあるという。
どのバージョンに問題があるのか
脆弱性は2008年5月にリリースされたglibc 2.9以降のバージョンに存在する。
バージョンの確認方法
[root@****** ~]# yum list installed | grep 'glibc' glibc.x86_64 2.12-1.166.el6_7.3 @updates glibc-common.x86_64 2.12-1.166.el6_7.3 @updates glibc-devel.x86_64 2.12-1.166.el6_7.3 @updates glibc-headers.x86_64
2.9以降であれば今回の脆弱性に該当します。
アップデート方法
修正パッチ適用済みのglibcはglibc-2.12-1.166.el6_7.7です。
[CentOS-announce] CESA-2016:0175 Critical CentOS 6 glibc Security Update
[root@****** ~]# yum update glibc
yumのアップデートコマンドを入力します。
Loaded plugins: fastestmirror, security Determining fastest mirrors Could not get metalink https://mirrors.fedoraproject.org/metalink?repo=epel-6&arch=x86_64 error was 14: problem making ssl connection * epel: ftp.riken.jp base | 3.7 kB 00:00 base/primary_db | 4.6 MB 00:00 extras | 3.4 kB 00:00 extras/primary_db | 34 kB 00:00 mod-pagespeed | 951 B 00:00 mod-pagespeed/primary | 2.8 kB 00:00 mod-pagespeed 15/15 updates | 3.4 kB 00:00 updates/primary_db | 3.9 MB 00:00 Setting up Update Process Resolving Dependencies --> Running transaction check ---> Package glibc.i686 0:2.12-1.47.el6_2.9 will be updated --> Processing Dependency: glibc = 2.12-1.47.el6_2.9 for package: glibc-devel-2.12-1.47.el6_2.9.x86_64 --> Processing Dependency: glibc = 2.12-1.47.el6_2.9 for package: glibc-common-2.12-1.47.el6_2.9.x86_64 --> Processing Dependency: glibc = 2.12-1.47.el6_2.9 for package: glibc-headers-2.12-1.47.el6_2.9.x86_64 ---> Package glibc.x86_64 0:2.12-1.47.el6_2.9 will be updated ---> Package glibc.i686 0:2.12-1.166.el6_7.7 will be an update ---> Package glibc.x86_64 0:2.12-1.166.el6_7.7 will be an update --> Running transaction check ---> Package glibc-common.x86_64 0:2.12-1.47.el6_2.9 will be updated ---> Package glibc-common.x86_64 0:2.12-1.166.el6_7.7 will be an update ---> Package glibc-devel.x86_64 0:2.12-1.47.el6_2.9 will be updated ---> Package glibc-devel.x86_64 0:2.12-1.166.el6_7.7 will be an update ---> Package glibc-headers.x86_64 0:2.12-1.47.el6_2.9 will be updated ---> Package glibc-headers.x86_64 0:2.12-1.166.el6_7.7 will be an update --> Finished Dependency Resolution Dependencies Resolved ============================================================================================================================= Package Arch Version Repository Size ============================================================================================================================= Updating: glibc i686 2.12-1.166.el6_7.7 updates 4.3 M glibc x86_64 2.12-1.166.el6_7.7 updates 3.8 M Updating for dependencies: glibc-common x86_64 2.12-1.166.el6_7.7 updates 14 M glibc-devel x86_64 2.12-1.166.el6_7.7 updates 986 k glibc-headers x86_64 2.12-1.166.el6_7.7 updates 615 k Transaction Summary ============================================================================================================================= Upgrade 5 Package(s) Total download size: 24 M Is this ok [y/N]:
バージョンを確認して問題ないので、yを入力してエンター
Downloading Packages: (1/5): glibc-2.12-1.166.el6_7.7.i686.rpm | 4.3 MB 00:00 (2/5): glibc-2.12-1.166.el6_7.7.x86_64.rpm | 3.8 MB 00:00 (3/5): glibc-common-2.12-1.166.el6_7.7.x86_64.rpm | 14 MB 00:01 (4/5): glibc-devel-2.12-1.166.el6_7.7.x86_64.rpm | 986 kB 00:00 (5/5): glibc-headers-2.12-1.166.el6_7.7.x86_64.rpm | 615 kB 00:00 ----------------------------------------------------------------------------------------------------------------------------- Total 8.8 MB/s | 24 MB 00:02 Running rpm_check_debug Running Transaction Test Transaction Test Succeeded Running Transaction Updating : glibc-common-2.12-1.166.el6_7.7.x86_64 1/10 Updating : glibc-2.12-1.166.el6_7.7.x86_64 2/10 Updating : glibc-headers-2.12-1.166.el6_7.7.x86_64 3/10 Updating : glibc-devel-2.12-1.166.el6_7.7.x86_64 4/10 Updating : glibc-2.12-1.166.el6_7.7.i686 5/10 Cleanup : glibc-devel-2.12-1.47.el6_2.9.x86_64 6/10 Cleanup : glibc-2.12-1.47.el6_2.9 7/10 Cleanup : glibc-headers-2.12-1.47.el6_2.9.x86_64 8/10 Cleanup : glibc-2.12-1.47.el6_2.9 9/10 Cleanup : glibc-common-2.12-1.47.el6_2.9.x86_64 10/10 Updated: glibc.i686 0:2.12-1.166.el6_7.7 glibc.x86_64 0:2.12-1.166.el6_7.7 Dependency Updated: glibc-common.x86_64 0:2.12-1.166.el6_7.7 glibc-devel.x86_64 0:2.12-1.166.el6_7.7 glibc-headers.x86_64 0:2.12-1.166.el6_7.7 Complete!
アップデート完了後、サーバーを再起動します。
再起動後、以下コマンドでlibc-2.12-1.166.el6_7.7が適用されていれば完了です。
[root@****** ~]# yum list installed | grep 'glibc' glibc.x86_64 2.12-1.166.el6_7.7 @updates glibc-common.x86_64 2.12-1.166.el6_7.7 @updates glibc-devel.x86_64 2.12-1.166.el6_7.7 @updates glibc-headers.x86_64
最後に
先日、Androidの脆弱性問題が見つかりましたし慌ただしいですね・・。
再起動ができそうなタイミングで早めに対応しましょう。