Edited at

CVE-2015-7547のRedHat/CentOS系

More than 3 years have passed since last update.

自分の作業用にまとめ。


概要

昨年の今頃話題になったGHOSTの時は、gethostbynameでした。Apacheなどは既にこれを利用していなかったため、影響を受けなかったのですが、今回はgetaddrinfoです。多くのサーバサイドのアプリケーションが影響を受けそうです。

参考

http://blog.trendmicro.co.jp/archives/10818


各種情報

RedHatからのお知らせ

https://access.redhat.com/security/cve/CVE-2015-7547

日本語の情報

https://oss.sios.com/security/general-security-20160217

CentOSの情報

https://www.centos.org/forums/viewtopic.php?f=17&t=56467


影響を受けるバージョン

glibcのバージョン2.9以降が影響を受けます。現在リリースされているglibcで言うと、2.9~2.22が対象となります。RHELとCentOSにおける影響の有無は以下の通りです。

OS
glibcのバージョン
影響
修正済みバージョン

RHEL(CentOS)5系
glibc-2.5
なし
-

RHEL(CentOS)6系
glibc-2.12
あり
glibc-2.12-1.166.el6_7.7

RHEL(CentOS)7系
glibc-2.17
あり
glibc-2.17-106.el7_2.4

4系はメンテナンス更新期限が終了しています。5系は今回影響を免れましたが、メンテナンス更新期限が2017年3月31日までです。ご注意ください。あと1年ちょっとしかありませんので、これを機に6に変えても良いかもですね……


確認方法


glibcのバージョンを確認

$ yum -q list installed glibc



glibcを利用しているプロセスを確認

$ lsof | grep 'libc-'



iptables/firewalldでとりあえずふさぐ

こちらの記事が大変参考になります!

http://qiita.com/kawaz/items/1b07429b28851f997dba


更新方法

とりあえずフィルタリングで時間を稼いで、glibcの更新は以下の手順になります。


RHEL6、CentOS6以前の場合

$ yum clean all

$ yum update glibc


RHEL7、CentOS7の場合

$ yum clean all

$ yum update glibc
$ systemctl daemon-reexec


反映方法

[方法1] OSの再起動

これがベストです。出来ない場合は方法2に。

[方法2] 各種サービスを個別に再起動

影響を受けそうなサービス一覧を出すには、以下の方法でライブラリを読み込んでいるプロセスを確認します。

たぶん、一覧見たら再起動したくなると思いますが……


updateの前にglibcを使用しているプロセスを確認する

$ lsof | grep 'libc-'



update後にメモリ上の古いglibcを使用しているプロセス確認する

$ lsof -d DEL | grep 'libc-'


lsofが入っていない場合は、yum install lsofで入ります。


その他

必要に応じてタイムゾーンの設定の見直しなどを行います。

参考

http://qiita.com/biatunky/items/231b673832a21f9f9524