这鬼该漏洞已于本周公布。
我运行的 Ubuntu 12.04 的系统似乎存在漏洞。
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 12.04.5 LTS
Release: 12.04
Codename: precise
ldd --version
ldd (Ubuntu EGLIBC 2.15-0ubuntu10.10) 2.15
Copyright (C) 2012 Free Software Foundation, Inc.
This is free software; see the source for copying conditions. There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.
Written by Roland McGrath and Ulrich Drepper.
根据我提供的链接,该问题在 2.17 到 2.18 版本之间得到了修复。我似乎使用的是 2.15 版本。我猜 Ubuntu 团队还没有修复它。会不会是?这是一个重大更新。我需要进行 dist-upgrade 吗?我还没有看到任何关于运行 precise 的公告或信息。
答案1
最新更新版本 2.15 中已修复此问题。
$ apt-get changelog libc6
eglibc (2.15-0ubuntu10.10) precise-security; urgency=medium
* SECURITY UPDATE: buffer overflow in __nss_hostname_digits_dots
- debian/patches/any/CVE-2015-0235.diff: fix overflow in
nss/digits_dots.c
- CVE-2015-0235
-- Steve Beattie <...> Tue, 20 Jan 2015 13:22:12 -0800