Cách bảo vệ server Linux của bạn chống lại lỗ hổng GHOST
Vào ngày 27 tháng 1 năm 2015, một lỗ hổng GNU C Library (glibc), được gọi là lỗ hổng GHOST, đã được công bố cho công chúng. Tóm lại, lỗ hổng này cho phép kẻ tấn công từ xa kiểm soát hoàn toàn hệ thống bằng cách khai thác lỗi tràn cache trong các chức năng G et HOST của glibc (do đó có tên như vậy). Giống như Shellshock và Heartbleed, lỗ hổng này rất nghiêm trọng và ảnh hưởng đến nhiều server . Lỗ hổng GHOST có thể bị khai thác trên các hệ thống Linux sử dụng các version của Thư viện GNU C trước glibc-2.18
. Nghĩa là , các hệ thống sử dụng version glibc chưa được vá từ version 2.2
đến 2.17
sẽ gặp rủi ro. Nhiều bản phân phối Linux bao gồm, nhưng không giới hạn, các bản phân phối sau có khả năng dễ bị tấn công bởi GHOST và cần được vá:
- CentOS 6 & 7
- Debian 7
- Red Hat Enterprise Linux 6 & 7
- Ubuntu 10.04 & 12.04
- Bản phân phối Linux cuối đời
Bạn nên cập nhật và khởi động lại tất cả các server Linux bị ảnh hưởng của bạn . Ta sẽ chỉ cho bạn cách kiểm tra xem hệ thống của bạn có bị tấn công hay không và nếu có thì cách cập nhật glibc để sửa lỗ hổng.
Kiểm tra lỗ hổng hệ thống
Cách dễ nhất để kiểm tra xem server của bạn có dễ bị GHOST hay không là kiểm tra version glibc đang được sử dụng. Ta sẽ trình bày cách thực hiện việc này trong Ubuntu, Debian, CentOS và RHEL.
Lưu ý các file binary được liên kết tĩnh với glibc rủi ro bảo mật phải được biên dịch lại để an toàn — kiểm tra này không đề cập đến các trường hợp này, chỉ dành cho Thư viện GNU C của hệ thống.
Ubuntu & Debian
Kiểm tra version glibc bằng cách tra cứu version ldd
(sử dụng glibc) như sau:
ldd --version
Dòng đầu tiên của kết quả sẽ chứa version của eglibc, biến thể của glibc mà Ubuntu và Debian sử dụng. Ví dụ: nó có thể trông như thế này (phiên bản được đánh dấu trong ví dụ này):
ldd (Ubuntu EGLIBC 2.15-0ubuntu10.7) 2.15 Copyright (C) 2012 Free Software Foundation, Inc. This is free software; see the source for copying conditions. There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. Written by Roland McGrath and Ulrich Drepper.
Nếu version của eglibc khớp hoặc mới hơn version được liệt kê ở đây, bạn sẽ an toàn trước lỗ hổng GHOST:
- Ubuntu 12.04 LTS:
2.15-0ubuntu10.10
- Ubuntu 10.04 LTS:
2.11.1-0ubuntu7.20
- Debian 7 LTS:
2.13-38+deb7u7
Nếu version của eglibc cũ hơn những version được liệt kê ở đây, hệ thống của bạn dễ bị GHOST và cần được cập nhật.
CentOS & RHEL
Kiểm tra version glibc với rpm
:
rpm -q glibc
Đầu ra sẽ giống như thế này, với tên gói theo sau là thông tin version :
glibc-2.12-1.132.el6_5.4.x86_64
Nếu version của glibc trùng với hoặc mới hơn version được liệt kê ở đây, bạn sẽ an toàn trước lỗ hổng GHOST:
- CentOS 6:
glibc- 2.12-1.149 .el6_6.5
- CentOS 7:
glibc- 2.17-55 .el7_0.5
- RHEL 5:
glibc- 2.5-123 .el5_11.1
- RHEL 6:
glibc- 2.12-1.149 .el6_6.5
- RHEL 7:
glibc- 2.17-55 .el7_0.5
Nếu version glibc cũ hơn những version được liệt kê ở đây, hệ thống của bạn dễ bị GHOST và cần được cập nhật.
Sửa lỗ hổng bảo mật
Cách dễ nhất để sửa lỗ hổng GHOST là sử dụng trình quản lý gói mặc định của bạn để cập nhật version glibc. Các phần phụ sau đây bao gồm cập nhật glibc trên các bản phân phối Linux khác nhau, bao gồm Ubuntu, Debian, CentOS và Red Hat.
APT-GET: Ubuntu / Debian
Đối với các version Ubuntu hoặc Debian hiện được hỗ trợ, hãy cập nhật tất cả các gói của bạn lên version mới nhất hiện có thông qua apt-get dist-upgrade
:
sudo apt-get update && sudo apt-get dist-upgrade
Sau đó trả lời dấu nhắc xác nhận bằng y
.
Khi quá trình cập nhật hoàn tất, hãy khởi động lại server bằng lệnh sau:
sudo reboot
Khởi động lại là cần thiết vì Thư viện GNU C được sử dụng bởi nhiều ứng dụng. Phải khởi động lại để sử dụng thư viện được cập nhật.
Bây giờ hãy xác minh hệ thống của bạn không còn dễ bị tấn công theo các hướng dẫn trong phần trước (Kiểm tra lỗ hổng hệ thống).
YUM: CentOS / RHEL
Cập nhật glibc lên version mới nhất có sẵn qua yum
:
sudo yum update glibc
Sau đó trả lời dấu nhắc xác nhận bằng y
.
Khi quá trình cập nhật hoàn tất, hãy khởi động lại server bằng lệnh sau:
sudo reboot
Khởi động lại là cần thiết vì Thư viện GNU C được sử dụng bởi nhiều ứng dụng. Phải khởi động lại để sử dụng thư viện được cập nhật.
Bây giờ hãy xác minh hệ thống của bạn không còn dễ bị tấn công theo các hướng dẫn trong phần trước (Kiểm tra lỗ hổng hệ thống).
Kết luận
Đảm bảo cập nhật glibc trên tất cả các server Linux bị ảnh hưởng của bạn. Ngoài ra, hãy đảm bảo giữ cho server của bạn được cập nhật các bản cập nhật bảo mật mới nhất!
Các tin liên quan
Cách cài đặt và cấu hình Postfix làm server SMTP chỉ gửi trên Ubuntu 14.042015-01-23
Cách cấu hình xác thực dựa trên khóa SSH trên server FreeBSD
2015-01-14
Giới thiệu so sánh về FreeBSD cho người dùng Linux
2015-01-14
Tại sao bạn có thể không muốn chạy mail server của riêng mình
2014-12-11
Cách kiểm tra lưu lượng mạng trong server LAMP với sysdig trên CentOS 7
2014-12-05
Giới thiệu về quyền của Linux
2014-11-14
Quản lý tệp và điều hướng Linux cơ bản
2014-11-14
Giới thiệu về Linux Terminal
2014-11-14
Quản lý tệp và điều hướng Linux cơ bản
2014-11-14
Quản lý tệp và điều hướng Linux cơ bản
2014-11-14