Linux Glibc 库严重安全漏洞你们都补了吗？真有那么恐怖？

主要是不想补因为需要重启

难道这不补有人真能轻松拿到权限？

itsjoke

2015-01-29 16:50:25 +08:00

重启了httpd

tabris17

2015-01-29 16:56:31 +08:00

一般服务器不会去解析一些莫名其妙的域名的吧，除非是爬虫服务器

tabris17

2015-01-29 16:57:19 +08:00

而且真的exploit成功需要注入很长的shell代码，可能性非常小

9999999999999999

2015-01-29 17:52:44 +08:00

google bot呢？

a2z

2015-01-29 18:11:49 +08:00

只能用数字和.溢出……

ballpen

2015-01-29 18:19:42 +08:00

研究人员对漏洞进行了测试验证：向目标邮件服务器发送特别构造的邮件，从而获得了远程登录Linxu系统的shell脚本。。。。。。。。。。

这话怎么理解？ “向服务器发邮件。。。。” 一般服务器没有搭建邮件服务器吧（sendmail 这样的算不算？）也就是说没有邮件服务器就没办法攻破？

linhua

2015-01-29 18:37:32 +08:00

@ballpen GNU C库(Glibc)是GNU系统的三大基础组件（Linux内核，GCC编译器，GLIBC库），只要程序中调用相关的有漏洞函数，就存在威胁
可参考 http://www.solidot.org/story?sid=42854
http://www.cyberciti.biz/faq/cve-2015-0235-patch-ghost-on-debian-ubuntu-fedora-centos-rhel-linux/

ballpen

2015-01-29 18:40:44 +08:00

@linhua
已确认被成功利用的软件及系统
Glibc 2.2到2.17 (包含2.2和2.17版本)

请问 centos 5 版本对应的是 glibc-2.5-123 说明centos 5 就不需要修复？

linhua

2015-01-29 18:44:17 +08:00

@ballpen 2.2-2.17包含2.5吧，上面第二个链接中有检测是否有漏洞的方法

jjx

2015-01-29 19:47:35 +08:00

一定要要重启吗？

xdeng

2015-01-29 20:20:36 +08:00

我只想知道静态编译的怎么版？又不想重新编译或者源文件不知在哪了。。。

JohnChu

2015-01-30 00:46:15 +08:00

没很严重

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

Linux Glibc 库严重安全漏洞 你们都补了吗？真有那么恐怖？