ウェブと食べ物と趣味のこと

読者です 読者をやめる 読者になる 読者になる

ウェブと食べ物と趣味のこと

格安SIMのこと、windows10、迷惑メールネタ、写真ネタなど。困った方の参考になる記事を心掛けます。

【さくらVPS】「glibc」ライブラリの脆弱性対応方法[CentOS]

セキュリティ さくらVPS

スポンサードリンク

f:id:photoblg:20160218105352j:plain

昨日「glibc」ライブラリに脆弱性、Linuxの大部分に深刻な影響というニュースが話題になっていましたね

www.itmedia.co.jp

 


仕事でもプライベートでもサーバーを使っているので対応しなくてはならないです。

プライベートでさくらインターネットのVPSを使っているので確認方法と対応手順を説明します。

※OSはデフォルトでインストールされているCentOS、yumによるupdateです。

※反映にはサーバーの再起動が必要です。

※自己責任でお願いします。

そのままにしておくとどうなる?


glibcで「getaddrinfo()」ライブラリ機能が使われた際に、スタックベースのバッファオーバーフローの脆弱性が誘発されることが判明。この機能を使っているソフトウェアは、攻撃者が制御するドメイン名やDNSサーバ、あるいは中間者攻撃を通じて脆弱性を悪用される恐れがあるという。 

 どのバージョンに問題があるのか


脆弱性は2008年5月にリリースされたglibc 2.9以降のバージョンに存在する。 

 バージョンの確認方法

[root@****** ~]# yum list installed | grep 'glibc'
glibc.x86_64        2.12-1.166.el6_7.3  @updates                                
glibc-common.x86_64 2.12-1.166.el6_7.3  @updates                                
glibc-devel.x86_64  2.12-1.166.el6_7.3  @updates                                
glibc-headers.x86_64

2.9以降であれば今回の脆弱性に該当します。

アップデート方法

修正パッチ適用済みのglibcはglibc-2.12-1.166.el6_7.7です。

[CentOS-announce] CESA-2016:0175 Critical CentOS 6 glibc Security Update

[root@****** ~]# yum update glibc

yumのアップデートコマンドを入力します。

Loaded plugins: fastestmirror, security
Determining fastest mirrors
Could not get metalink https://mirrors.fedoraproject.org/metalink?repo=epel-6&arch=x86_64 error was
14: problem making ssl connection
 * epel: ftp.riken.jp
base                                                                                                  | 3.7 kB     00:00     
base/primary_db                                                                                       | 4.6 MB     00:00     
extras                                                                                                | 3.4 kB     00:00     
extras/primary_db                                                                                     |  34 kB     00:00     
mod-pagespeed                                                                                         |  951 B     00:00     
mod-pagespeed/primary                                                                                 | 2.8 kB     00:00     
mod-pagespeed                                                                                                          15/15
updates                                                                                               | 3.4 kB     00:00     
updates/primary_db                                                                                    | 3.9 MB     00:00     
Setting up Update Process
Resolving Dependencies
--> Running transaction check
---> Package glibc.i686 0:2.12-1.47.el6_2.9 will be updated
--> Processing Dependency: glibc = 2.12-1.47.el6_2.9 for package: glibc-devel-2.12-1.47.el6_2.9.x86_64
--> Processing Dependency: glibc = 2.12-1.47.el6_2.9 for package: glibc-common-2.12-1.47.el6_2.9.x86_64
--> Processing Dependency: glibc = 2.12-1.47.el6_2.9 for package: glibc-headers-2.12-1.47.el6_2.9.x86_64
---> Package glibc.x86_64 0:2.12-1.47.el6_2.9 will be updated
---> Package glibc.i686 0:2.12-1.166.el6_7.7 will be an update
---> Package glibc.x86_64 0:2.12-1.166.el6_7.7 will be an update
--> Running transaction check
---> Package glibc-common.x86_64 0:2.12-1.47.el6_2.9 will be updated
---> Package glibc-common.x86_64 0:2.12-1.166.el6_7.7 will be an update
---> Package glibc-devel.x86_64 0:2.12-1.47.el6_2.9 will be updated
---> Package glibc-devel.x86_64 0:2.12-1.166.el6_7.7 will be an update
---> Package glibc-headers.x86_64 0:2.12-1.47.el6_2.9 will be updated
---> Package glibc-headers.x86_64 0:2.12-1.166.el6_7.7 will be an update
--> Finished Dependency Resolution

Dependencies Resolved

=============================================================================================================================
 Package                        Arch                    Version                               Repository                Size
=============================================================================================================================
Updating:
 glibc                          i686                    2.12-1.166.el6_7.7                    updates                  4.3 M
 glibc                          x86_64                  2.12-1.166.el6_7.7                    updates                  3.8 M
Updating for dependencies:
 glibc-common                   x86_64                  2.12-1.166.el6_7.7                    updates                   14 M
 glibc-devel                    x86_64                  2.12-1.166.el6_7.7                    updates                  986 k
 glibc-headers                  x86_64                  2.12-1.166.el6_7.7                    updates                  615 k

Transaction Summary
=============================================================================================================================
Upgrade       5 Package(s)

Total download size: 24 M
Is this ok [y/N]:

バージョンを確認して問題ないので、yを入力してエンター

Downloading Packages:
(1/5): glibc-2.12-1.166.el6_7.7.i686.rpm                                                              | 4.3 MB     00:00     
(2/5): glibc-2.12-1.166.el6_7.7.x86_64.rpm                                                            | 3.8 MB     00:00     
(3/5): glibc-common-2.12-1.166.el6_7.7.x86_64.rpm                                                     |  14 MB     00:01     
(4/5): glibc-devel-2.12-1.166.el6_7.7.x86_64.rpm                                                      | 986 kB     00:00     
(5/5): glibc-headers-2.12-1.166.el6_7.7.x86_64.rpm                                                    | 615 kB     00:00     
-----------------------------------------------------------------------------------------------------------------------------
Total                                                                                        8.8 MB/s |  24 MB     00:02     
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
  Updating   : glibc-common-2.12-1.166.el6_7.7.x86_64                                                                   1/10 
  Updating   : glibc-2.12-1.166.el6_7.7.x86_64                                                                          2/10 
  Updating   : glibc-headers-2.12-1.166.el6_7.7.x86_64                                                                  3/10 
  Updating   : glibc-devel-2.12-1.166.el6_7.7.x86_64                                                                    4/10 
  Updating   : glibc-2.12-1.166.el6_7.7.i686                                                                            5/10 
  Cleanup    : glibc-devel-2.12-1.47.el6_2.9.x86_64                                                                     6/10 
  Cleanup    : glibc-2.12-1.47.el6_2.9                                                                                  7/10 
  Cleanup    : glibc-headers-2.12-1.47.el6_2.9.x86_64                                                                   8/10 
  Cleanup    : glibc-2.12-1.47.el6_2.9                                                                                  9/10 
  Cleanup    : glibc-common-2.12-1.47.el6_2.9.x86_64                                                                   10/10 

Updated:
  glibc.i686 0:2.12-1.166.el6_7.7                              glibc.x86_64 0:2.12-1.166.el6_7.7                             

Dependency Updated:
  glibc-common.x86_64 0:2.12-1.166.el6_7.7 glibc-devel.x86_64 0:2.12-1.166.el6_7.7 glibc-headers.x86_64 0:2.12-1.166.el6_7.7

Complete!

アップデート完了後、サーバーを再起動します。

再起動後、以下コマンドでlibc-2.12-1.166.el6_7.7が適用されていれば完了です。

[root@****** ~]# yum list installed | grep 'glibc'
glibc.x86_64        2.12-1.166.el6_7.7  @updates                                
glibc-common.x86_64 2.12-1.166.el6_7.7  @updates                                
glibc-devel.x86_64  2.12-1.166.el6_7.7  @updates                                
glibc-headers.x86_64

最後に

先日、Androidの脆弱性問題が見つかりましたし慌ただしいですね・・。
再起動ができそうなタイミングで早めに対応しましょう。
www.itmedia.co.jp

スポンサードリンク