web-dev-qa-db-ja.com

どのUbuntuリリースにCVE-2015-7547(libc getaddrinfo()を使用した「非常に重大なバグ」)の修正がありますか?

Ars Technicaは、getaddrinfo()バグと、それがLinuxの世界でどのように広がっているかを説明する記事を投稿しました。

この脆弱性は、2008年にGNU C Libraryに導入されました。Cライブラリは、数千のスタンドアロンアプリケーションと、ルーターや他の種類のハードウェアを含むほとんどのLinuxディストリビューションを動作させるオープンソースコードのコレクションです。

ソース: http://arstechnica.com/security/2016/02/extremely-severe-bug-leaves-dizzying-number-of-apps-and-devices-vulnerable/

質問:Ubuntuのどの一般配布バージョンで、このバグは完全に修正/修正されていますか?

4
George

他のセキュリティパッチと同様に、サポートされているすべてのバージョンのUbuntでパッチが適用されています。デスクトップインストールのsecurityおよびupdatesリポジトリの両方にプッシュされます。通常の方法で更新する必要があります。自動更新を有効にしている場合、これは自動的にインストールされます。

カーネルの更新と同様に、libcの更新は通常完全にを取得するには再起動が必要です。ただし、実際にどの程度のリスクがあるかを検討してください。このバグを引き起こすために、攻撃者は基本的にローカルネットワークアクセスを必要とします。つまり、ルーター上またはユーザーとルーター間です。 。他のネットワークを歩き回ると、すぐにリスクの高い状況に陥ります。

Ubuntu Touchが標準の更新手順をどのように考慮しているかわかりません。

http://www.ubuntu.com/usn/usn-2900-1/

The problem can be corrected by updating your system to the following package version:

Ubuntu 15.10:
    libc6 2.21-0ubuntu4.1 
Ubuntu 14.04 LTS:
    libc6 2.19-0ubuntu6.7 
Ubuntu 12.04 LTS:
    libc6 2.15-0ubuntu10.13 

16.04(開発中)では、標準チャネルを通じて個別の更新が提供される可能性があります。古い、サポートされていないリリースは、自分でパッチを適用しない限り脆弱性のままです。

8
Oli

パッチが適用されたバージョンは、サポートされているすべてのUbuntuリリース、つまり12.04、14.04、および15.10で利用できます。

関連するパッチバージョンは次のとおりです。

Ubuntu 15.10:
    libc6 2.21-0ubuntu4.1 
Ubuntu 14.04 LTS:
    libc6 2.19-0ubuntu6.7 
Ubuntu 12.04 LTS:
    libc6 2.15-0ubuntu10.13 

libc6パッケージをアップグレードするだけです。

Sudo apt-get update && Sudo apt-get install libc6

チェック: http://www.ubuntu.com/usn/usn-2900-1/

5
heemayl

システムが影響を受けているかどうかを確認するには:

ldd --version

影響を受けるバージョンの出力は次のようになります。

ldd(Ubuntu EGLIBC 2.19-0ubuntu 6.6)2.19

Glibcをアップグレードするには、次のいずれかを実行します。

Sudo apt-get update && Sudo apt-get install libc6 && Sudo apt-get install libc-bin

または

Sudo apt-get update && Sudo apt-get upgrade

この後、glibcに依存するサービスを再起動する必要があります。最適なオプションは、ボックスを再起動することです。

この後、再度確認する場合:

ldd --version

出力は次のようになります。

ldd(Ubuntu EGLIBC 2.19-0ubuntu 6.7)2.19

3
lloiacono