glibc私たちは現在バージョン2.2から最新バージョン5/6/7にアップグレードする必要があることを知っています。
私の質問は、私たちの環境に7000を超えるサーバーがあり、システムを再起動するのが難しいときにシステムを再起動する必要があるかどうかです。
アップデート後はglibc脆弱ではありませんが、アプリケーション/サーバーを再起動する必要があるのはなぜですか。
答え1
今回の投稿でほとんどの質問に回答しましたここ幽霊の脆弱性について。
つまり、いいえ、システムの再起動は「必須」ではありませんが、多くのアプリケーション/システムユーティリティはglibcを使用しているため、パッチが適用される前にすべてのアプリケーション/システムユーティリティを再起動する必要があります。そのため、環境を再起動することが「推奨」されます。
私の記事では、再起動が必要なglibcを使用しているアプリケーションを特定する方法と、まだ影響を受けるかどうかを確認する前後に脆弱性をテストする方法を紹介します。 glibcテストではパッチの後に脆弱ではないように見えるかもしれませんが、glibcをメモリにロードし、メモリ内バージョンのglibcがまだ脆弱であるため、すべてのアプリケーションを再起動する必要があります。だからあなたはまだ安全ではありません。
答え2
猶予警備員Ghostの脆弱性に関する素晴らしい記事を書きました。 glibcライブラリを使用するすべてのプロセスを再起動する必要があることが示されているので、新しいライブラリを使用するには少なくともすべてのサービスを再起動する必要があるようです。
固定する
ディストリビューションに利用可能なパッチがある場合はインストールしてください。それ以外の場合:
- glibc 2.18以降にアップデート
- glibcライブラリをロードするすべてのプロセスを再起動します。
- glibcライブラリの脆弱なバージョンに静的にリンクされているソフトウェア用の新しいバイナリをリリースします。
赤い帽子完全に再起動することをお勧めしますが、libcを使用してすべてのサービスを見つけるためのコマンドも提供されます。
システムを再起動するか、影響を受けるすべてのサービスを再起動します。
この脆弱性はシステムの多数のアプリケーションに影響を与えるためすべてのアプリケーションが更新されたglibcパッケージを使用していることを確認する最も安全で推奨される方法は、システムを再起動することです。。
システム全体を再起動できない場合は、次のコマンドを実行してglibcを使用しているシステム上のすべてのサービスとバイナリを一覧表示します。
$ lsof + c 15 | grep libc- | awk '{print $1}' |
結果リストで公開サービスを識別して再起動します。この手順は一時的な解決策として機能できますが、Red Hatではサポートされておらず、問題が発生した場合は、トラブルシューティングを開始する前にシステムを再起動するように求められます。