Help us understand the problem. What is going on with this article?

CVE-2015-7547のRedHat/CentOS系

More than 3 years have passed since last update.

自分の作業用にまとめ。

概要

昨年の今頃話題になったGHOSTの時は、gethostbynameでした。Apacheなどは既にこれを利用していなかったため、影響を受けなかったのですが、今回はgetaddrinfoです。多くのサーバサイドのアプリケーションが影響を受けそうです。

参考
http://blog.trendmicro.co.jp/archives/10818

各種情報

RedHatからのお知らせ
https://access.redhat.com/security/cve/CVE-2015-7547

日本語の情報
https://oss.sios.com/security/general-security-20160217

CentOSの情報
https://www.centos.org/forums/viewtopic.php?f=17&t=56467

影響を受けるバージョン

glibcのバージョン2.9以降が影響を受けます。現在リリースされているglibcで言うと、2.9~2.22が対象となります。RHELとCentOSにおける影響の有無は以下の通りです。

OS glibcのバージョン 影響 修正済みバージョン
RHEL(CentOS)5系 glibc-2.5 なし -
RHEL(CentOS)6系 glibc-2.12 あり glibc-2.12-1.166.el6_7.7
RHEL(CentOS)7系 glibc-2.17 あり glibc-2.17-106.el7_2.4

4系はメンテナンス更新期限が終了しています。5系は今回影響を免れましたが、メンテナンス更新期限が2017年3月31日までです。ご注意ください。あと1年ちょっとしかありませんので、これを機に6に変えても良いかもですね……

確認方法

glibcのバージョンを確認
$ yum -q list installed glibc
glibcを利用しているプロセスを確認
$ lsof | grep 'libc-'

iptables/firewalldでとりあえずふさぐ

こちらの記事が大変参考になります!
http://qiita.com/kawaz/items/1b07429b28851f997dba

更新方法

とりあえずフィルタリングで時間を稼いで、glibcの更新は以下の手順になります。

RHEL6、CentOS6以前の場合
$ yum clean all
$ yum update glibc
RHEL7、CentOS7の場合
$ yum clean all
$ yum update glibc
$ systemctl daemon-reexec

反映方法

[方法1] OSの再起動
これがベストです。出来ない場合は方法2に。

[方法2] 各種サービスを個別に再起動
影響を受けそうなサービス一覧を出すには、以下の方法でライブラリを読み込んでいるプロセスを確認します。
たぶん、一覧見たら再起動したくなると思いますが……

updateの前にglibcを使用しているプロセスを確認する
$ lsof | grep 'libc-'
update後にメモリ上の古いglibcを使用しているプロセス確認する
$ lsof -d DEL | grep 'libc-'

lsofが入っていない場合は、yum install lsofで入ります。

その他

必要に応じてタイムゾーンの設定の見直しなどを行います。

参考
http://qiita.com/biatunky/items/231b673832a21f9f9524

maru3
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away