Comment protéger serveur Linux contre le vulnérabilité GHOST (CVE-2015-0235)

Dernière mise à jour sur 6 sept. 2023 à 13:18:34.
Catégorie: Serveurs cloud

CentOS Cloud Servers Debian Virtuele Servers VPS

Qu'est-ce que l'exploit GHOST ?

Le 27 janvier 2015, il a été publié que la glibc avait un bogue de débordement de tampon dans les fonctions gethostbyname() (d'où le nom GHOST).
Tout comme Shellshock ou Heartbleed, il s'agit d'un bogue critique et l'impact sur le serveur Linux est énorme.

La vulnérabilité GHOST affecte uniquement les serveurs Linux utilisant la bibliothèque GNU C pour la version glib-c2.18. Les systèmes utilisant une version non corrigée de glibc de la version 2.2 (pas 2.20 !) à 2.17 sont à risque. Les versions suivantes de Linux peuvent être à risque et doivent être testées :

  • CentOS 6 et 7
  • Debian 7
  • RHEL (Red Hat Enterprise Linux) 6 et 7
  • Ubuntu 10.04 et 12.04
  • Distributions Linux en fin de vie (par exemple CentOS 5)


Nous vous recommandons donc de vérifier si votre serveur est sujet à ce bug, d'installer les correctifs nécessaires et de redémarrer le serveur.
Vous pouvez vérifier l'exploit GHOST comme suit :

Comment vérifier votre serveur ?

Le moyen le plus simple - et le plus rapide - de savoir si votre serveur est impacté ou non est de vérifier la version de glibc sur votre serveur. Nous expliquons comment procéder dans Debian, Ubuntu, RHEL et CentOS.
Notez que cette vérification ne fonctionne également que pour la bibliothèque système générale GNU C, pas pour les packages auto-compilés.

Serveurs Debian et Ubuntu

Vérifiez la version de glibc en vérifiant la version de ldd (ldd utilise glibc) :

ldd --version

La sortie vous montrera la version d'elibbc, la variante glibc utilisée par Debian et Ubuntu :

ldd (Debian EGLIBC <strong><u>2.13-38+deb7u7</u></strong>) 2.13
Copyright (C) 2011 Free Software Foundation, Inc.
This is free software; see the source for copying conditions. There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.
Written by Roland McGrath and Ulrich Drepper.

Dans notre exemple, nous montrons la version soulignée et en gras. Si la version sur votre serveur est supérieure ou égale à l'un des éléments suivants, vous n'êtes pas éligible pour la vulnérabilité GHOST.

  • Ubuntu 12.04: 2.15-0ubuntu10.10
  • Ubuntu 10.04: 2.11.1-0ubuntu7.20
  • Debian 7: 2.13-38+deb7u7

Si votre version est PLUS ANCIENNE que celle ci-dessus, veuillez mettre à niveau votre serveur (voir ci-dessous).

Serveurs RHEL et CentOS

Le moyen le plus simple de vérifier la version de glibc consiste à utiliser rpm :

rpm -q glibc

Vous verrez l'affichage suivant, contenant le numéro de version dans le package :

glibc-<strong><u>2.12-1.132</u></strong>.el6_5.3.x86_64

Si la version que vous récupérez est plus récente ou égale à l'une des versions ci-dessous, vous n'êtes pas éligible à la vulnérabilité GHOST.

  • CentOS 6: glibc-2.12-1.149.el6_6.5
  • CentOS 7: glibc-2.17-55.el7_0.5
  • RHEL 5: glibc-2.5-123.el5_11.1
  • RHEL 6: glibc-2.12-1.149.el6_6.5
  • RHEL 7: glibc-2.17-55.el7_0.5

Si votre version est PLUS ANCIENNE que celle ci-dessus, veuillez mettre à niveau votre serveur (voir ci-dessous).

Comment corriger la vulnérabilité ?

Le moyen le plus rapide et le plus simple de mettre à jour la version de glibc consiste à utiliser le gestionnaire de packages de votre distribution Linux : apt-get ou yum, par exemple.

Debian et Ubuntu: apt-get

Pour les serveurs Debian et Ubuntu, nous vous recommandons de mettre à niveau votre serveur vers la dernière version via apt-get dist-upgrade :

apt-get update && apt-get dist-upgrade

Suivez les étapes et après l'installation - cela peut prendre un certain temps - redémarrez votre serveur. Vérifiez ensuite à nouveau (voir ci-dessus) si la version de la glibc est correcte.

CentOS et RHEL: yum

La mise à jour de glibc est la plus rapide via yum :

yum update glibc

Suivez les étapes et après l'installation - cela peut prendre un certain temps - redémarrez votre serveur. Vérifiez ensuite à nouveau (voir ci-dessus) si la version de la glibc est correcte.


Articles connexes

Apache - Désactiver SSL 2.0, SSL 3.0 et opter pour une configuration SSL moderne et sûre.

Cet article vous montre comment désactiver les protocoles SSL 2.0, SSL 3.0 et les anciennes versions de TLS sur votre...

En savoir plus

Paramètres des serveurs mail Kinamo (feuille de triche)

L'article suivant vous donne un résumé de la configuration et noms du serveurs mail de Kinamo. Avec la liste ici...

En savoir plus

Créer un filtre anti-spam avec le Kinamo Webmail

L'article suivant vous explique comment ajouter un filtre spécial pour mettre des messages SPAM automatiquement dans un dossier dans votre...

En savoir plus

Besoin d'aide supplémentaire?

Vous n'avez pas obtenu de réponse à toutes vos questions?
Ne vous inquiétez pas, faites une demande d'assistance!

Sélectionnez votre langue

Toutes les langues: