読者です 読者をやめる 読者になる 読者になる

TakayukiKoyama Geek Blog

Create, Entertain, Experience

さくらVPS,CentOS6で『GHOST』対応する

サーバ構築 CentOS

先月末に話題になった「GHOST」がさくらVPSも対象となったので対応します。

※CentOS7だとSSHにログインできなくなる不具合が発生するらしいのでご注意ください。 GHOST脆弱性にyum update glibc、その後リブートする前に - Qiita

GHOSTとは

Linuxに存在する脆弱性「GHOST」、システム管理者は落ち着いて対処を | トレンドマイクロ セキュリティブログ

Linuxに深刻なセキュリティホール「GHOST」、今すぐパッチが必要 - ZDNet Japan

 トレンドマイクロの記事が参考になります。ZDNetは「今すぐ」と書いてあるけど、「GHOST」の性質は

・攻めこむ隙がほとんどないので、攻撃を受ける可能性は低い
・攻撃されたらシステムを乗っ取られるので、放置は危険

 なので、「今すぐ」でなく、放置せず適切に対応すればOKだと思います。

 サーバにインストールされている『glibc』ライブラリ の関数「gethostbyname*()」を実行してバッファをオーバーフローさせるとシステムを乗っ取れてしまうようです。

 が、トレンドマイクロに書いてあるようにライブラリを使用しているアプリケーション(ApachePostfixなど)が脆弱性の影響を受けず、glibcを使った攻撃をするためには「GHOST」とは別の方法でサーバに入り込まないといけないので、サーバがある程度堅牢であれば、攻撃できないでしょう。

『GHOST』対策

 コマンドを4つ叩く簡単なお仕事です。

さくらインターネット

【重要】Linux GNU Cライブラリ(glibc)の脆弱性に関する注意喚起 | さくらインターネット

・At-link

at+linkからのお知らせ : 【重要】「GHOST:glibc(CVE-2015-0235)」の脆弱性について (2015/1/29 更新) | at+link[エーティーリンク]

 さくらVPSだとしても、実際の作業は「At-link」を見たほうが分かりやすいと思います。

 やることは簡単ですが、再起動をかけるので、chkconfig onにしてるかとか、実行中のプロセスがないかどうかを確認して下さい。

まず、glibcの状態を確認する。

 『GHOST』対応されているバージョンは『glibc-2.12-1.149.el6_6.5.x86_64』です。『_6.5』が付いているなら大丈夫です。

# rpm -q glibc
glibc-2.12-1.149.el6.x86_64

glibcを更新

# yum update glibc -y
(省略)

glibcのバージョンを確認

# rpm -q glibc
glibc-2.12-1.149.el6_6.5.x86_64

再起動

# reboot

 アプリケーションが正常に動いていれば完了です。お疲れ様でした。

10日でおぼえるLinuxサーバー入門教室 CentOS対応 (10日でおぼえるシリーズ)

10日でおぼえるLinuxサーバー入門教室 CentOS対応 (10日でおぼえるシリーズ)

広告を非表示にする