Vulnérabilité GHOST glibc (CVE-2015-0235): faut-il redémarrer un serveur après la mise à niveau de glibc?

Réponses:

23

Un redémarrage n'est pas techniquement nécessaire , car seuls les programmes qui utilisent la glibc doivent être redémarrés et le noyau n'utilise pas la glibc.

Cela étant dit, redémarrer tout ce qui utilise la glibc est suffisamment large pour que vous puissiez aussi bien redémarrer .

Par exemple, /sbin/initutilise la glibc. Cependant, le redémarrer est trivial (exécuté en init utant que root).

gowenfawr
la source
3
OTOH Je doute sérieusement que ce initsoit vulnérable à cause de la CVE :)
Erbureth dit Réintégrer Monica
11
@Erbureth, je suis d'accord, mais je pense que "je pense que ce programme est vulnérable, je pense que ce programme n'est pas" est "un jeu étrange. Le seul geste gagnant est de ne pas jouer."
gowenfawr
sysvinit est sûr (pas d'appels DNS, et souvent mais pas toujours lié statiquement aussi). systemdsemble avoir un résolveur qui lui est propre. D'après mon expérience, le remplacement des bibliothèques utilisées par des processus de longue durée peut provoquer des instabilités. Redémarrez et soyez heureux.
m
2
sysvinit peut être redémarré. Exécutez la commande init u et elle exécutera / sbin / init.
Joshua
FYI: Redémarrer init sans redémarrer le système
Gilles 'SO- arrête d'être méchant'
9

Si vous êtes satisfait du redémarrage manuel des services individuels qui utilisent la bibliothèque vulnérable, vous pouvez exécuter cette commande et redémarrer les processus répertoriés:

# lsof | awk '/libc-/ {print $1}' | sort -u

Vous constaterez probablement qu'il sera plus facile de redémarrer entièrement la machine.

deed02392
la source
9
lsof | awk '/DEL.*libc/{print $1}' | sort -upour correspondre uniquement à ceux qui pointent vers la libc maintenant supprimée (après la mise à jour).
sch
2
Quelqu'un a-t-il réellement vérifié la sortie de lsof | grep libc? Il correspond à une tonne de bibliothèques, y compris libcurl, libcups, libcairo etc. Grepping for libc-semble produire les bons résultats.
C'est une méthode assez détournée et inexacte. Comment détecter les processus en cours d'exécution à l'aide d'un package de bibliothèque? Quoi qu'il en soit, pour la glibc, la réponse est à peu près tous les processus. Ce qui serait utile serait de savoir quels processus restent avec l'ancienne copie, et cette commande ne vous le dira pas.
Gilles 'SO- arrête d'être méchant'
7

Oui, donc les processus qui dépendent de l'ancienne version de glibc recommencent avec la nouvelle version de la bibliothèque. Les programmes liés statiquement doivent également être recompilés pour cette raison.

Ohnana
la source
La liaison statique est probablement rare cependant, étant donné les interactions des fonctions DNS avec NSS, la glibc et les biais historiques de l'ancien mainteneur de la glibc .
mr.spuratic