Linuxでbashコードが挿入される脆弱性のバグが見つかりました。
解決策はパッケージを更新することですbash
。
yum update bash
私の質問は「システムを再起動する必要がありますか?」です。私たちの環境には4000台のサーバーがあり、すべてのシステムを再起動するのは難しいです。
答え1
この脆弱性に関する記事を読み、指示を更新してください。たとえば、redhatは非常に詳細な情報を提供します。情報:
CVE-2014-6271およびCVE-2014-7169のアップデートをインストールした後、サービスを再起動または再起動する必要がありますか?
システムからエクスポートされたBash機能を使用している場合は、影響を受けるサービスを再起動することをお勧めします。影響を受けた対話型ユーザーは再度ログインする必要があり、screenまたはtmuxセッションを再開する必要があります。
これらの問題を解決するために、提供されたBashアップデートは環境からエクスポートされた関数の名前を変更します。以前のバージョンのBashから関数をエクスポートした場合、その関数は更新後に新しく開始されたBashプロセスで認識されず、本質的に定義されません。サービスを再起動すると、新しいバージョンのBashが期待される名前で関数をエクスポートして再表示されるようにします。
どのサービスを再起動する必要があるか(またはどのユーザーが再度ログインする必要があるか)を確認するには、更新後に次のコマンドを実行します。
$ grep -l -z '[^)]=() {' /proc/[1-9]*/environ |cut -d/-f3
返されたPIDは、その環境で以前にエクスポートされた機能を使用して定義されたプロセスに属します。これらのプロセスを再起動する必要があります。特定のPIDを起動して再起動する必要があるサービスを検索するには、Red Hat Enterprise Linux 7で次のコマンドを使用します。
$システム制御ステータス
Red Hat Enterprise Linux 6以前では、pstree -pまたはps -axufコマンドを使用して特定のPIDを見つけます。
PS。サーバーが4,000台の場合は、すべてのメンテナンスを実行できる人を雇う必要があります。少なくともこのような基本的な質問はあります。