nicht angemeldet
Robert R.Liebe Mitdenker,
liebe Wissende,
liebe Neugierige,
ja!
noch ein wenig Anleitung eines Hosters, der bei (Wieder-)Auftreten von Lücken sehr zeitnah [heute vormittag] informiert. [die Anmerkungen sind von mir]:
<cite>~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
wir möchten Sie über eine aktuelle Sicherheitslücke - Codename GHOST -
informieren, die potentiell auch Ihre(n) Server bei uns betrifft. Es
handelt sich hierbei um einen Fehler in den libc-Funktionen
gethostbyname*, der unter Umständen zur Ausführung von Schadcode führen
kann. Diese Lücke kann in bestimmten Situationen sogar von aussen
ausgenutzt werden, ohne dass der Angreifer Zugänge zum System benötigt.
Weitere Informationen finden Sie unter folgenden Links:
https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability
https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt
Insbesondere bei Debian sind folgende Paketversionen NICHT mehr betroffen:
squeeze-lts: 2.11.3-4+deb6u4 (nicht betroffen)
wheezy: 2.13-38+deb7u7 (nicht betroffen) [installiert war wheezy: 2.13-??+deb7u6]
jessie, sid: 2.19-13 (nicht betroffen)
Ältere Versionen (inklusive Sarge, Lenny und Squeeze-non-LTS) sind
hingegen verwundbar. Im Zweifelsfall verwenden Sie das unten genannte
Testkommando um Ihren Server zu prüfen.
Die aktuelle Version können Sie mit dem Befehl:
dpkg -s libc6 | grep Version
ersehen.
Falls Sie einen "Managed Server" bei uns gebucht haben wurden die
Updates bereits durch uns auf dem Hauptsystem eingespielt. Anderenfalls
bitten wir Sie, die Lücke schnellstmöglich zu schliessen.
Unter Debian ist das Vorgehen in etwa wie folgt:
-
Prüfen, ob die richtigen Sources in /etc/apt/sources.list eingetragen
sind (wheezy bzw squeeze-lts, ältere Versionen (inklusive squeeze)
werden _nicht_ mehr gepflegt) -
apt-get update
-
apt-get install libc6 (bzw. apt-get upgrade für eine vollständige
Aktualisierung aller Pakete)
- Ggf. betroffene Dienste neu starten (insbesondere Mailserver,
Webserver, etc). Falls möglich wäre ein reboot die beste Lösung.
[bei crypted private Keys daran denken, dass manchmal die Passphrase-Eingabe erforderlich ist]
Mit folgendem Kommando können Sie testen, ob Ihr Server aktuell
verwundbar ist:
wget -qO - http://noc.n0q.de/files/ghost.sh | sh
Die Ausgabe hat folgende Bedeutung:
VULN - System verwundbar, updaten!
SAFE - System nicht verwundbar
FAIL - Fehler bei der Ausführung des Tests
Falls Sie Fragen zu diesem Thema haben steht Ihnen unser technischer
Support jederzeit zur Verfügung!
Mit freundlichen Grüßen
Antagus
Abteilung Serversupport
Spirituelle Grüße
Euer Robert
--
Möge der Forumsgeist wiederbelebt werden!
Auge
Gunnar Bittersmann