哪些 Ubuntu 版本修复了 CVE-2015-7547(libc getaddrinfo() 的“极其严重的错误”)?

哪些 Ubuntu 版本修复了 CVE-2015-7547(libc getaddrinfo() 的“极其严重的错误”)?

Ars Technica 发表了一篇文章,描述了该getaddrinfo()漏洞以及它在 Linux 世界中的广泛传播。

该漏洞于 2008 年在 GNU C 库中出现,该库是一个开源代码集合,为数千个独立应用程序和大多数 Linux 发行版提供支持,包括随路由器和其他类型硬件发行的发行版。

来源:http://arstechnica.com/security/2016/02/extremely-severe-bug-leaves-dizzying-number-of-apps-and-devices-vulnerable/

问题:在 Ubuntu 的哪些通用发行版本中已完全解决/更正此错误?

答案1

像任何安全补丁一样,它已经修补所有受支持的 Ubuntu 版本。它通过securityupdates存储库推送用于桌面安装。您只需以正常方式更新即可。如果您已打开自动更新,则会自动安装。

与内核更新一样,libc更新通常需要重新启动才能充分采取。但是,请权衡一下您实际面临的风险。要触发此漏洞,攻击者本质上需要本地网络访问权限 — 即在您的路由器上或您与路由器之间 — 因此,尽管这已被多次讨论,但对于大多数使用家庭网络的人来说,实际损害的风险仍然很低。如果您在其他网络上漫游,那么您将立即处于更高的风险等级。

我不知道 Ubuntu Touch 如何影响标准更新程序。

http://www.ubuntu.com/usn/usn-2900-1/

The problem can be corrected by updating your system to the following package version:

Ubuntu 15.10:
    libc6 2.21-0ubuntu4.1 
Ubuntu 14.04 LTS:
    libc6 2.19-0ubuntu6.7 
Ubuntu 12.04 LTS:
    libc6 2.15-0ubuntu10.13 

16.04(正在开发中)可能会通过标准渠道单独更新。较旧的、不受支持的版本仍将存在漏洞,除非您自行修补它们。

答案2

所有受支持的 Ubuntu 版本(即 12.04、14.04 和 15.10)均提供修补版本。

相关修补版本为:

Ubuntu 15.10:
    libc6 2.21-0ubuntu4.1 
Ubuntu 14.04 LTS:
    libc6 2.19-0ubuntu6.7 
Ubuntu 12.04 LTS:
    libc6 2.15-0ubuntu10.13 

您只需要升级libc6软件包:

sudo apt-get update && sudo apt-get install libc6

查看:http://www.ubuntu.com/usn/usn-2900-1/

答案3

要检查您的系统是否受到影响:

ldd --version

受影响的版本将有如下输出:

ldd(Ubuntu EGLIBC 2.19-0ubuntu6.6) 2.19

要升级 glibc,请运行:

sudo apt-get update && sudo apt-get install libc6 && sudo apt-get install libc-bin

或者

sudo apt-get update && sudo apt-get upgrade

在此之后,您必须重新启动依赖于 glibc 的服务,或者最好的选择是重新启动该盒子。

此后如果你再次检查:

ldd --version

输出应类似于:

ldd(Ubuntu EGLIBC 2.19-0ubuntu6.7) 2.19

相关内容