web-dev-qa-db-fra.com

Quelles versions d'Ubuntu corrigent CVE-2015-7547 ("Extremely Severe Bug" avec libc getaddrinfo ())?

Ars Technica a publié un article décrivant le bogue getaddrinfo() et son extension dans le monde Linux.

La vulnérabilité a été introduite en 2008 dans GNU C Library, une collection de code open source qui alimente des milliers d'applications autonomes et la plupart des distributions de Linux, y compris celles distribuées avec des routeurs et d'autres types de matériel.

Source: http://arstechnica.com/security/2016/02/extremely-severe-bug-leaves-dizzying-number-of-apps-and-devices-vulnerable/

Question: Dans quelles versions de distribution générale d'Ubuntu, ce bogue a-t-il été complètement résolu/corrigé?

networkingsecurityglibcvulnerability
4
George

Comme tout correctif de sécurité, il a été corrigé dans toutes les versions prises en charge d’Ubuntu . Il est poussé à travers les dépôts security et updates pour les installations de bureau. Vous avez juste besoin de mettre à jour normalement. Si vous avez activé les mises à jour automatiques, cela devrait s'installer automatiquement.

Comme les mises à jour du noyau, les mises à jour de libc nécessitent généralement un redémarrage vers entièrement . Cependant, évaluez le risque que vous courez réellement. Pour déclencher ce bogue, un attaquant a essentiellement besoin d'un accès au réseau local (sur votre routeur ou entre vous et votre routeur). Ainsi, même si cela a été beaucoup discuté, le risque de dommages réels est encore assez faible pour la plupart des utilisateurs de leurs réseaux domestiques. . Si vous vous déplacez sur d'autres réseaux, vous vous retrouvez immédiatement dans une tranche de risque plus élevée.

Je ne sais pas comment Ubuntu Touch prend en compte les procédures de mise à jour standard.

http://www.ubuntu.com/usn/usn-2900-1/

The problem can be corrected by updating your system to the following package version:

Ubuntu 15.10:
    libc6 2.21-0ubuntu4.1 
Ubuntu 14.04 LTS:
    libc6 2.19-0ubuntu6.7 
Ubuntu 12.04 LTS:
    libc6 2.15-0ubuntu10.13

16.04 (en développement) aura probablement une mise à jour séparée via le canal standard. Les anciennes versions non prises en charge resteront vulnérables, à moins que vous ne les corrigiez vous-même.

8
Oli

Des versions corrigées sont disponibles pour toutes les versions prises en charge par Ubuntu, à savoir les versions 12.04, 14.04 et 15.10.

Les versions corrigées pertinentes sont:

Ubuntu 15.10:
    libc6 2.21-0ubuntu4.1 
Ubuntu 14.04 LTS:
    libc6 2.19-0ubuntu6.7 
Ubuntu 12.04 LTS:
    libc6 2.15-0ubuntu10.13

Il vous suffit de mettre à jour le paquet libc6:

Sudo apt-get update && Sudo apt-get install libc6

Vérifier: http://www.ubuntu.com/usn/usn-2900-1/

5
heemayl

Pour vérifier si votre système est affecté:

ldd --version

Les versions concernées auront une sortie comme celle-ci:

ldd (Ubuntu EGLIBC 2.19-0ubuntu 6.6) 2.19

Pour mettre à jour glibc, exécutez soit:

Sudo apt-get update && Sudo apt-get install libc6 && Sudo apt-get install libc-bin

ou

Sudo apt-get update && Sudo apt-get upgrade

Après cela, vous devez redémarrer les services qui dépendent de la glibc ou la meilleure option consiste à redémarrer la boîte.

Après cela, si vous vérifiez à nouveau avec:

ldd --version

La sortie devrait être comme:

ldd (Ubuntu EGLIBC 2.19-0ubuntu 6.7) 2.19

3
lloiacono