Ännu en allvarlig bugg har upptäckts till operativsystemet Linux och den har fått namnet GHOST. Namnet kommer från själva sårbarheten i GNU´s C blibliotek gethostbyname.

Sårbarheten är mycket allvarlig då den kan utnyttjas till att få full access till operativsystemet.
Alla våra delade servrar samt de kundservrar som köper vår patchtjänst är åtgärdade.

Följande distributioner är påverkade:
• RHEL (Red Hat Enterprise Linux) version 5.x, 6.x & 7.x
• CentOS Linux version 5.x, 6.x & 7.x
• Ubuntu Linux version 10.04 & 12.04 LTS
• Debian Linux version 7.x
• Linux Mint version 13.0
• Fedora Linux version 19 eller äldre
• SUSE Linux Enterprise 11 eller äldre
• OpenSUSE Linux 11 eller äldre
• Arch Linux (glibc version <= 2.18-1)

För att kontrollera om man är påverkad kan man köra nedan script och kommando för att se vilka tjänster som påverkas. Observera att man måste starta om de tjänster som är påverkade efter att man patchat och vår rekommendation är då att man startar om hela servern.

Kontrollscript för att se om servern är påverkad:

#!/bin/bash
#Version 3 
echo "Installed glibc version(s)"
rv=0
for glibc_nvr in $( rpm -q --qf '%{name}-%{version}-%{release}.%{arch}\n' glibc ); do
    glibc_ver=$( echo "$glibc_nvr" | awk -F- '{ print $2 }' )
    glibc_maj=$( echo "$glibc_ver" | awk -F. '{ print $1 }')
    glibc_min=$( echo "$glibc_ver" | awk -F. '{ print $2 }')
    
    echo -n "- $glibc_nvr: "
    if [ "$glibc_maj" -gt 2   -o  \
        \( "$glibc_maj" -eq 2  -a  "$glibc_min" -ge 18 \) ]; then
        # fixed upstream version
        echo 'not vulnerable'
    else
        # all RHEL updates include CVE in rpm %changelog
        if rpm -q --changelog "$glibc_nvr" | grep -q 'CVE-2015-0235'; then
            echo "not vulnerable"
        else
            echo "vulnerable"
            rv=1
        fi
    fi
done
if [ $rv -ne 0 ]; then
    cat <<EOF
This system is vulnerable to CVE-2015-0235. <https://access.redhat.com/security/cve/CVE-2015-0235>
Please refer to <https://access.redhat.com/articles/1332213> for remediation steps
EOF
fi
exit $rv

För att se vilka tjänster som är påverkade så kör man följande kommando:

# lsof | grep libc | awk '{print $1}' | sort | uniq

För att uppdatera de tre vanligaste distributioner Debian och CentOS görs följande:

CENTOS

# sudo yum clean all

# sudo yum update

DEBIAN & UBUNTU

# sudo apt-get clean

# sudo apt-get update

# sudo apt-get upgrade

För mer information:
http://www.cyberciti.biz/faq/cve-2015-0235-patch-ghost-on-debian-ubuntu-fedora-centos-rhel-linux/
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2015-0235
https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability

/Daniel Gullin – Teknikchef