自分の作業用にまとめ。
概要
昨年の今頃話題になったGHOSTの時は、gethostbynameでした。Apacheなどは既にこれを利用していなかったため、影響を受けなかったのですが、今回はgetaddrinfoです。多くのサーバサイドのアプリケーションが影響を受けそうです。
参考
http://blog.trendmicro.co.jp/archives/10818
各種情報
RedHatからのお知らせ
https://access.redhat.com/security/cve/CVE-2015-7547
日本語の情報
https://oss.sios.com/security/general-security-20160217
CentOSの情報
https://www.centos.org/forums/viewtopic.php?f=17&t=56467
影響を受けるバージョン
glibcのバージョン2.9以降が影響を受けます。現在リリースされているglibcで言うと、2.9~2.22が対象となります。RHELとCentOSにおける影響の有無は以下の通りです。
OS | glibcのバージョン | 影響 | 修正済みバージョン |
---|---|---|---|
RHEL(CentOS)5系 | glibc-2.5 | なし | - |
RHEL(CentOS)6系 | glibc-2.12 | あり | glibc-2.12-1.166.el6_7.7 |
RHEL(CentOS)7系 | glibc-2.17 | あり | glibc-2.17-106.el7_2.4 |
4系はメンテナンス更新期限が終了しています。5系は今回影響を免れましたが、メンテナンス更新期限が2017年3月31日までです。ご注意ください。あと1年ちょっとしかありませんので、これを機に6に変えても良いかもですね……
確認方法
$ yum -q list installed glibc
$ lsof | grep 'libc-'
iptables/firewalldでとりあえずふさぐ
こちらの記事が大変参考になります!
http://qiita.com/kawaz/items/1b07429b28851f997dba
更新方法
とりあえずフィルタリングで時間を稼いで、glibcの更新は以下の手順になります。
$ yum clean all
$ yum update glibc
$ yum clean all
$ yum update glibc
$ systemctl daemon-reexec
反映方法
[方法1] OSの再起動
これがベストです。出来ない場合は方法2に。
[方法2] 各種サービスを個別に再起動
影響を受けそうなサービス一覧を出すには、以下の方法でライブラリを読み込んでいるプロセスを確認します。
たぶん、一覧見たら再起動したくなると思いますが……
$ lsof | grep 'libc-'
$ lsof -d DEL | grep 'libc-'
lsofが入っていない場合は、yum install lsofで入ります。
その他
必要に応じてタイムゾーンの設定の見直しなどを行います。