CVE-2015-7547のRedHat/CentOS系

  • 70
    いいね
  • 0
    コメント
この記事は最終更新日から1年以上が経過しています。

自分の作業用にまとめ。

概要

昨年の今頃話題になったGHOSTの時は、gethostbynameでした。Apacheなどは既にこれを利用していなかったため、影響を受けなかったのですが、今回はgetaddrinfoです。多くのサーバサイドのアプリケーションが影響を受けそうです。

参考
http://blog.trendmicro.co.jp/archives/10818

各種情報

RedHatからのお知らせ
https://access.redhat.com/security/cve/CVE-2015-7547

日本語の情報
https://oss.sios.com/security/general-security-20160217

CentOSの情報
https://www.centos.org/forums/viewtopic.php?f=17&t=56467

影響を受けるバージョン

glibcのバージョン2.9以降が影響を受けます。現在リリースされているglibcで言うと、2.9~2.22が対象となります。RHELとCentOSにおける影響の有無は以下の通りです。

OS glibcのバージョン 影響 修正済みバージョン
RHEL(CentOS)5系 glibc-2.5 なし -
RHEL(CentOS)6系 glibc-2.12 あり glibc-2.12-1.166.el6_7.7
RHEL(CentOS)7系 glibc-2.17 あり glibc-2.17-106.el7_2.4

4系はメンテナンス更新期限が終了しています。5系は今回影響を免れましたが、メンテナンス更新期限が2017年3月31日までです。ご注意ください。あと1年ちょっとしかありませんので、これを機に6に変えても良いかもですね……

確認方法

glibcのバージョンを確認
$ yum -q list installed glibc
glibcを利用しているプロセスを確認
$ lsof | grep 'libc-'

iptables/firewalldでとりあえずふさぐ

こちらの記事が大変参考になります!
http://qiita.com/kawaz/items/1b07429b28851f997dba

更新方法

とりあえずフィルタリングで時間を稼いで、glibcの更新は以下の手順になります。

RHEL6、CentOS6以前の場合
$ yum clean all
$ yum update glibc
RHEL7、CentOS7の場合
$ yum clean all
$ yum update glibc
$ systemctl daemon-reexec

反映方法

[方法1] OSの再起動
これがベストです。出来ない場合は方法2に。

[方法2] 各種サービスを個別に再起動
影響を受けそうなサービス一覧を出すには、以下の方法でライブラリを読み込んでいるプロセスを確認します。
たぶん、一覧見たら再起動したくなると思いますが……

updateの前にglibcを使用しているプロセスを確認する
$ lsof | grep 'libc-'
update後にメモリ上の古いglibcを使用しているプロセス確認する
$ lsof -d DEL | grep 'libc-'

lsofが入っていない場合は、yum install lsofで入ります。

その他

必要に応じてタイムゾーンの設定の見直しなどを行います。

参考
http://qiita.com/biatunky/items/231b673832a21f9f9524