我们注意到需要glibc从当前版本 2.2 升级到最新版本 5/6/7。
我的问题是我是否需要重新启动系统,因为我们的环境中有超过 7000 台服务器,因此很难重新启动系统。
更新后glibc就不容易受到攻击了,那么为什么需要重新启动应用程序/服务器
答案1
我回答了这个帖子中的大部分问题这里关于幽灵漏洞。
简而言之,不需要,重新启动系统不是“必需的”,但由于许多应用程序/系统实用程序都使用 glibc,因此您必须确保在补丁生效之前重新启动它们中的每一个。这就是为什么“建议”您重新启动环境。
我的帖子向您展示了如何识别哪些应用程序使用了需要重新启动的 glibc,以及如何在前后测试该漏洞以查看您是否仍然受到影响。 glibc 测试可能显示修补后不易受攻击,但您仍然需要确保重新启动所有这些应用程序,因为它们将 glibc 加载到内存中,并且内存中的 glibc 版本仍然容易受到攻击。所以你还不安全。
答案2
又野保安写了一篇关于 Ghost 漏洞的精彩文章。它指出使用 glibc 库的所有进程都需要重新启动,因此我怀疑您至少必须重新启动所有服务,以便它们使用新库。
使固定
如果您的发行版有可用补丁,请安装这些补丁。否则:
- 更新到 glibc 2.18 或更高版本
- 重启所有加载glibc库的进程
- 为静态链接到易受攻击的 glibc 库版本的软件发布新的二进制文件。
红帽建议完全重新启动,但也提供命令来查找所有使用 libc 的服务
重新启动系统或重新启动所有受影响的服务:
由于该漏洞影响系统上大量应用程序,确保每个应用程序都使用更新的 glibc 软件包的最安全且推荐的方法是重新启动系统。
如果您无法重新启动整个系统,请执行以下命令列出系统上使用 glibc 的所有服务和二进制文件。
$ lsof +c 15 | grep libc- | grep libc-| awk '{print $1}' |排序-u
从结果列表中,识别面向公众的服务并重新启动它们。虽然此过程可能作为临时解决方法,但红帽不支持它,如果出现问题,系统会要求您在开始任何故障排除之前重新启动系统。