忘记密码?

一键登录

草根吧源码论坛

Linux服务器glibc中处理DNS查询栈溢出漏洞glibc CVE-2015-7547漏洞的分析和修复方法

查看: 836|回复: 0

Linux服务器glibc中处理DNS查询栈溢出漏洞glibc CVE-2015-7547漏洞的分析和修复方法

[复制链接]

1687

主题

2134

热度

549

贡献

民审

Rank: 8Rank: 8

发表于 2016-2-19 09:07:03 | 显示全部楼层 |阅读模式 | 百度  360  谷歌 
分享到:
本帖最后由 民审-M 于 2016-2-19 09:08 编辑

glibc CVE-2015-7547漏洞的分析和修复方法

漏洞概述glibc中处理DNS查询的代码中存在栈溢出漏洞,远端攻击者可以通过回应特定构造的DNS响应数据包导致glibc相关的应用程序crash或者利用栈溢出运行任意代码。应用程序调用使用getaddrinfo 函数将会收到该漏洞的影响。
CVE编号
CVE-2015-7547

受影响的系统
CentOS6 所有版本CentOS7所有版本SUSE Linux Enterprise Server 11 SP3SUSE Linux Enterprise Server 12Ubuntu Server 14.04.1 LTS 32位Ubuntu Server 14.04.1 LTS 64位Ubuntu Server 12.04 LTS 64位Ubuntu Server 12.04 LTS 64位(Docker)Debian8.2 32位Debian8.2 64位Debian7.8 32位Debian7.8 64位Debian7.4 64位CoreOS717.3.0 64位
如何修复该漏洞

腾讯云提供的基础操作系统镜像CentOS系列、Ubuntu系列、Debian系列都已修复该问题,新创建的云服务器不存在该漏洞。腾讯云提供的更新源已经提供了修改该漏洞的glibc版本,对于已经运行的云服务器可以通过手动更新glibc修复。
步骤一:(更新glibc版本)
CentOS6系列:yum -y update glibc-2.12-1.166.el6_7.7 glibc-common-2.12-1.166.el6_7.7 glibc-devel-2.12-1.166.el6_7.7 glibc-headers-2.12-1.166.el6_7.7 glibc-static-2.12-1.166.el6_7.7 glibc-utils-2.12-1.166.el6_7.7 nscd-2.12-1.166.el6_7.7
Centos7系列:
yum -y update glibc-2.17-106.el7_2.4 glibc-common-2.17-106.el7_2.4 glibc-devel-2.17-106.el7_2.4 glibc-headers-2.17-106.el7_2.4 glibc-static-2.17-106.el7_2.4 glibc-utils-2.17-106.el7_2.4 nscd-2.17-106.el7_2.4
Ubuntu Server 14.04.1 LTS 系列:1.修改/etc/apt/sources.list添加如下内容:deb http://mirrors.tencentyun.com/ubuntu-security trusty-security main
2.执行apt-get update命令:3.执行apt-get install libc6; apt-get install libc-bin命令;
Ubuntu Server 12.04 LTS 系列:1.修改/etc/apt/sources.list添加如下内容:deb http://mirrors.tencentyun.com/ubuntu-security precise-security main
2.执行apt-get update命令:3.执行apt-get install libc6;
Debian6系列:1.修改/etc/apt/sources.list添加如下内容:deb http://mirrors.tencentyun.com/debian squeeze-lts main non-free contribdeb http://mirrors.tencentyun.com/debian-security squeeze/updates main2.执行apt-get update命令:3.执行apt-get install libc6更新libc
Debian7系列:1.修改/etc/apt/sources.list添加如下内容:deb [size=1.4]http://mirrors.tencentyun.com/debian-security wheezy/updates main2.执行apt-get update命令:3.执行apt-get install libc6更新libc
Debian8系列:1.修改/etc/apt/sources.list添加如下内容:deb http://mirrors.tencentyun.com/debian-security jessie/updates main2.执行apt-get update命令:3.执行apt-get install libc6;apt-get install libc-bin命令
步骤二:(重启服务)由于本次漏洞为glibc的漏洞,涉及多种应用程序,最安全并且推荐的修复方法是重启系统生效。 如果你的系统无法重启,请执行如下命令查询仍然在使用老版本glibc的程序。lsof +c0 -d DEL | awk 'NR==1 || /libc-/ {print $2,$1,$4,$NF}' | column -t 根据查询的结果, 识别哪些是对外提供服务的程序,重启对应的服务。
   FAQ

1. 使用SELINUX可以规避这个漏洞吗?
合适的SELINUX规则可以限制系统被攻破后的影响,但是由于DNS被系统很多基础服务使用,所以SELINUX并不能完全规避该漏洞,建议及时进行更新。
2. 静态链接的可执行程序是否收到该漏洞的影响?
是的。如果二进制使用存在漏洞版本的glibc进行了静态链接,则对应的程序需要使用新版本glibc进行重新编译。

帖子地址: 

本文来源于草根吧源码论坛 www.caogen8.co,欢迎大家下载。
如果您没有贡献需要充值,可以直接在线充值,点击充值
如果你需要加入本站赞助VIP会员,可以直接在线开通,点击开通
如果找不到您要的资源,请搜索一下,点击搜索
回复

举报

发表回复

您需要登录后才可以回帖 登录 | 立即注册 新浪微博登陆 用百度帐号登录 一键登录:

本版积分规则

收藏帖子 返回列表 搜索
快速回复 返回顶部 返回列表