V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
ballpen
V2EX  ›  问与答

Linux Glibc 库严重安全漏洞 你们都补了吗?真有那么恐怖?

  •  
  •   ballpen · 2015-01-29 16:44:32 +08:00 · 3301 次点击
    这是一个创建于 3586 天前的主题,其中的信息可能已经有所发展或是发生改变。

    主要是不想补 因为需要重启

    难道这不补 有人真能轻松拿到权限?

    12 条回复    2015-01-30 00:46:15 +08:00
    itsjoke
        1
    itsjoke  
       2015-01-29 16:50:25 +08:00
    重启了httpd
    tabris17
        2
    tabris17  
       2015-01-29 16:56:31 +08:00
    一般服务器不会去解析一些莫名其妙的域名的吧,除非是爬虫服务器
    tabris17
        3
    tabris17  
       2015-01-29 16:57:19 +08:00
    而且真的exploit成功需要注入很长的shell代码,可能性非常小
    9999999999999999
        4
    9999999999999999  
       2015-01-29 17:52:44 +08:00
    google bot呢?
    a2z
        5
    a2z  
       2015-01-29 18:11:49 +08:00
    只能用数字和.溢出……
    ballpen
        6
    ballpen  
    OP
       2015-01-29 18:19:42 +08:00
    研究人员对漏洞进行了测试验证:向目标邮件服务器发送特别构造的邮件,从而获得了远程登录Linxu系统的shell脚本。。。。。。。。。。

    这话怎么理解? “向服务器发邮件。。。。” 一般服务器没有搭建邮件服务器吧 (sendmail 这样的算不算?) 也就是说 没有邮件服务器 就没办法攻破?
    linhua
        7
    linhua  
       2015-01-29 18:37:32 +08:00
    @ballpen GNU C库(Glibc)是GNU系统的三大基础组件(Linux内核,GCC编译器,GLIBC库),只要程序中调用相关的有漏洞函数,就存在威胁
    可参考 http://www.solidot.org/story?sid=42854
    http://www.cyberciti.biz/faq/cve-2015-0235-patch-ghost-on-debian-ubuntu-fedora-centos-rhel-linux/
    ballpen
        8
    ballpen  
    OP
       2015-01-29 18:40:44 +08:00
    @linhua
    已确认被成功利用的软件及系统
    Glibc 2.2到2.17 (包含2.2和2.17版本)

    请问 centos 5 版本 对应的是 glibc-2.5-123 说明centos 5 就不需要修复?
    linhua
        9
    linhua  
       2015-01-29 18:44:17 +08:00
    @ballpen 2.2-2.17包含2.5吧,上面第二个链接中有检测是否有漏洞的方法
    jjx
        10
    jjx  
       2015-01-29 19:47:35 +08:00
    一定要要重启吗?
    xdeng
        11
    xdeng  
       2015-01-29 20:20:36 +08:00
    我只想知道 静态编译的 怎么版? 又不想重新编译 或者源文件不知在哪了。。。
    JohnChu
        12
    JohnChu  
       2015-01-30 00:46:15 +08:00 via iPhone
    没很严重
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1537 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 17:19 · PVG 01:19 · LAX 09:19 · JFK 12:19
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.