LinuxでBashコードが挿入される脆弱性

LinuxでBashコードが挿入される脆弱性

Linuxでbashコードが挿入される脆弱性のバグが見つかりました。

解決策はパッケージを更新することですbash

yum update bash  

私の質問は「システムを再起動する必要がありますか?」です。私たちの環境には4000台のサーバーがあり、すべてのシステムを再起動するのは難しいです。

答え1

この脆弱性に関する記事を読み、指示を更新してください。たとえば、redhatは非常に詳細な情報を提供します。情報:

CVE-2014-6271およびCVE-2014-7169のアップデートをインストールした後、サービスを再起動または再起動する必要がありますか?

システムからエクスポートされたBash機能を使用している場合は、影響を受けるサービスを再起動することをお勧めします。影響を受けた対話型ユーザーは再度ログインする必要があり、screenまたはtmuxセッションを再開する必要があります。

これらの問題を解決するために、提供されたBashアップデートは環境からエクスポートされた関数の名前を変更します。以前のバージョンのBashから関数をエクスポートした場合、その関数は更新後に新しく開始されたBashプロセスで認識されず、本質的に定義されません。サービスを再起動すると、新しいバージョンのBashが期待される名前で関数をエクスポートして再表示されるようにします。

どのサービスを再起動する必要があるか(またはどのユーザーが再度ログインする必要があるか)を確認するには、更新後に次のコマンドを実行します。

$ grep -l -z '[^)]=() {' /proc/[1-9]*/environ |cut -d/-f3

返されたPIDは、その環境で以前にエクスポートされた機能を使用して定義されたプロセスに属します。これらのプロセスを再起動する必要があります。特定のPIDを起動して再起動する必要があるサービスを検索するには、Red Hat Enterprise Linux 7で次のコマンドを使用します。

$システム制御ステータス

Red Hat Enterprise Linux 6以前では、pstree -pまたはps -axufコマンドを使用して特定のPIDを見つけます。

PS。サーバーが4,000台の場合は、すべてのメンテナンスを実行できる人を雇う必要があります。少なくともこのような基本的な質問はあります。

関連情報