Ars Technica 发表了一篇文章,描述了该getaddrinfo()
漏洞以及它在 Linux 世界中的广泛传播。
该漏洞于 2008 年在 GNU C 库中出现,该库是一个开源代码集合,为数千个独立应用程序和大多数 Linux 发行版提供支持,包括随路由器和其他类型硬件发行的发行版。
问题:在 Ubuntu 的哪些通用发行版本中已完全解决/更正此错误?
答案1
像任何安全补丁一样,它已经修补所有受支持的 Ubuntu 版本。它通过security
和updates
存储库推送用于桌面安装。您只需以正常方式更新即可。如果您已打开自动更新,则会自动安装。
与内核更新一样,libc
更新通常需要重新启动才能充分采取。但是,请权衡一下您实际面临的风险。要触发此漏洞,攻击者本质上需要本地网络访问权限 — 即在您的路由器上或您与路由器之间 — 因此,尽管这已被多次讨论,但对于大多数使用家庭网络的人来说,实际损害的风险仍然很低。如果您在其他网络上漫游,那么您将立即处于更高的风险等级。
我不知道 Ubuntu Touch 如何影响标准更新程序。
http://www.ubuntu.com/usn/usn-2900-1/
The problem can be corrected by updating your system to the following package version:
Ubuntu 15.10:
libc6 2.21-0ubuntu4.1
Ubuntu 14.04 LTS:
libc6 2.19-0ubuntu6.7
Ubuntu 12.04 LTS:
libc6 2.15-0ubuntu10.13
16.04(正在开发中)可能会通过标准渠道单独更新。较旧的、不受支持的版本仍将存在漏洞,除非您自行修补它们。
答案2
所有受支持的 Ubuntu 版本(即 12.04、14.04 和 15.10)均提供修补版本。
相关修补版本为:
Ubuntu 15.10:
libc6 2.21-0ubuntu4.1
Ubuntu 14.04 LTS:
libc6 2.19-0ubuntu6.7
Ubuntu 12.04 LTS:
libc6 2.15-0ubuntu10.13
您只需要升级libc6
软件包:
sudo apt-get update && sudo apt-get install libc6
答案3
要检查您的系统是否受到影响:
ldd --version
受影响的版本将有如下输出:
ldd(Ubuntu EGLIBC 2.19-0ubuntu6.6) 2.19
要升级 glibc,请运行:
sudo apt-get update && sudo apt-get install libc6 && sudo apt-get install libc-bin
或者
sudo apt-get update && sudo apt-get upgrade
在此之后,您必须重新启动依赖于 glibc 的服务,或者最好的选择是重新启动该盒子。
此后如果你再次检查:
ldd --version
输出应类似于:
ldd(Ubuntu EGLIBC 2.19-0ubuntu6.7) 2.19