Kirjoittaja Aihe: Vakava linux-haavoittuvuus: Onko syytä huoleen Ubuntu 14.04 LTS  (Luettu 3857 kertaa)

$eppo

  • Käyttäjä
  • Viestejä: 190
    • Profiili
« Viimeksi muokattu: 28.01.15 - klo:16.14 kirjoittanut $eppo »
Ubuntu 14.04 LTS

juyli

  • Vieras
Vs: Onko syytä huoleen Ubuntu 14.04 LTS
« Vastaus #1 : 28.01.15 - klo:11.10 »
http://www.tivi.fi/kaikki_uutiset/vakava+linuxhaavoittuvuus++paivita+heti/a1045655

Toki kannattaa päivittää, ja kun päivitykset on jo tarjolla. Mahdollisesti myös jakelussasi on päivittynyt, jos automaattipäivityksiä käytät.
Red Hat, Debian, Ubuntu ja Novell ovat julkaisseet päivitykset, ja laitteet kehotetaan päivittämään niin pian kuin mahdollista.

ajaaskel

  • Palvelimen ylläpitäjä
  • Käyttäjä
  • Viestejä: 3401
    • Profiili
Vs: Onko syytä huoleen Ubuntu 14.04 LTS
« Vastaus #2 : 28.01.15 - klo:11.18 »
Varmaankin Exim-postipalvelimen omistajat voisivat ensimmäisenä olla huolissaan.  Vikaa on toistaiseksi onnistuneesti kokeiltu tutkimuksen yhteydessä vain tuohon eli kyseiseen postipalvelimeen pääsi käsiksi Viestintäviraston sivuilta löytyneen linkin sisältämän dokumentin perusteella:

https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt

Tuolta löytyy myös C-kielinen päätteessä ajettava testi haavoittuvuuden testaamiseksi.  Voit ottaa sieltä testiohjelman ja kääntää itse.  Käänsin valmiiksi tuon testin 64 ja 32 bittisenä versiona jos haluat mieluummin ajettavana ohjelmana:

64 bittinen:
http://www.homelinuxpc.com/download/ghost64


32 bittinen:
http://www.homelinuxpc.com/download/ghost32

Tarkistussummat:
Koodia: [Valitse]
md5sum ghost643527ca7ef3eceec72ae23a4e2f1462f1  ghost64
Koodia: [Valitse]
md5dum ghost32ff953410ed0907210ce453a2e0c99aa4  ghost32

Tuo testi sanoo "vulnerable" jos haavoittuvuus on olemassa.

Bittisyyden voit tarkistaa Linuxista komennolla:

Koodia: [Valitse]
uname -m
x86_64 = 64 bittinen,  i686 = 32 bittinen

Kyseessä olevan kirjaston version voi tarkastaa komennolla:

Koodia: [Valitse]
ldd --version
« Viimeksi muokattu: 28.01.15 - klo:11.50 kirjoittanut ajaaskel »
Autamme ilolla ja ilmaiseksi omalla ajallamme.  Ethän vaadi, uhoa tai isottele näin saamasi palvelun johdosta.

VilhoPamppu

  • Käyttäjä
  • Viestejä: 58
    • Profiili
Vs: Onko syytä huoleen Ubuntu 14.04 LTS
« Vastaus #3 : 28.01.15 - klo:12.51 »
Kiitos ajaaskelille.  :)

Storck

  • Vieras
Vs: Onko syytä huoleen Ubuntu 14.04 LTS
« Vastaus #4 : 28.01.15 - klo:12.55 »
$eppo
Otsikkoon kannattaa laittaa sana tai kaksi itse ongelmasta, nyt se ei kerro juuri mitään.

Tomin

  • Palvelimen ylläpitäjä
  • Käyttäjä / moderaattori+
  • Viestejä: 11433
    • Profiili
    • Tomin kotisivut
Vs: Onko syytä huoleen Ubuntu 14.04 LTS
« Vastaus #5 : 28.01.15 - klo:16.14 »
Ubuntu 14.04 LTS:ssä on glibc:n versio 2.19, joka ei ole haavoittuvainen.
http://packages.ubuntu.com/trusty/libc6
12.04 LTS:ssä on versio 2.15, joka on haavoittuvainen ellei aukkoa korjata:
http://packages.ubuntu.com/trusty/libc6
Ja kuten muutoslokista nähdään tuo on jo korjattu:
http://changelogs.ubuntu.com/changelogs/pool/main/e/eglibc/eglibc_2.15-0ubuntu10.10/changelog
Automaattinen allekirjoitus:
Lisäisitkö [RATKAISTU] ketjun ensimmäisen viestin aiheeseen ongelman ratkettua, kiitos.

welmar

  • Käyttäjä
  • Viestejä: 1582
    • Profiili
Normikäyttäjä ei yleensä käytä niin vanhoja linux versioita että olisi noin vanhoja kirjastoja. Poikkeuksena Debian ja Cent Os käyttäjät mutta itse en ole Debianiakaan koskaan käyttänyt kuin testing tai mieluimmin Sid versiota jotka on sentään vähän tätä päivää. http://www.digitoday.fi/tietoturva/2015/01/28/vakava-linux-aukko-vaara-kasvaa/20151169/66?rss=6

maarit.s

  • Käyttäjä
  • Viestejä: 50
    • Profiili
Minulla on Ubuntu 12.04 LTS ja siinä Tominin mukaan on tämä haavoittuvuus. Tuleeko tämä korjauspäivitys jossain vaiheessa päivitystenhallinnan kautta vai pitääkö minun tehdä itse päivitys? Aiemmin, kun näistä haavoittuvuuksista tai tietoturva-aukoista on uutisoitu, olen luottanut, että päivitys tulee päivitystenhallinnan kautta.


Tomin

  • Palvelimen ylläpitäjä
  • Käyttäjä / moderaattori+
  • Viestejä: 11433
    • Profiili
    • Tomin kotisivut
Minulla on Ubuntu 12.04 LTS ja siinä Tominin mukaan on tämä haavoittuvuus. Tuleeko tämä korjauspäivitys jossain vaiheessa päivitystenhallinnan kautta vai pitääkö minun tehdä itse päivitys? Aiemmin, kun näistä haavoittuvuuksista tai tietoturva-aukoista on uutisoitu, olen luottanut, että päivitys tulee päivitystenhallinnan kautta.

Tulee. Se on jo pakettivarastoissa ja sitä mukaa kun se peilipalvelimille päivittyy, niin se tulee saatavaksi käyttäjillekin. Päivitysten hallinta kyllä ilmoittaa siitä ihan samalla tavalla kuin muistakin tai sitten asentaa sen itsekseen, jos niin on käsketty tehdä.
Automaattinen allekirjoitus:
Lisäisitkö [RATKAISTU] ketjun ensimmäisen viestin aiheeseen ongelman ratkettua, kiitos.