Comment protéger serveur Linux contre le vulnérabilité GHOST (CVE-2015-0235)

Catégorie: Serveurs cloud

CentOS Cloud Servers Debian Virtuele Servers VPS

Qu'est-ce que l'exploit GHOST ?

Le 27 janvier 2015, il a été publié que la glibc avait un bogue de débordement de tampon dans les fonctions gethostbyname() (d'où le nom GHOST).
Tout comme Shellshock ou Heartbleed, il s'agit d'un bogue critique et l'impact sur le serveur Linux est énorme.

La vulnérabilité GHOST affecte uniquement les serveurs Linux utilisant la bibliothèque GNU C pour la version glib-c2.18. Les systèmes utilisant une version non corrigée de glibc de la version 2.2 (pas 2.20 !) à 2.17 sont à risque. Les versions suivantes de Linux peuvent être à risque et doivent être testées :

  • CentOS 6 et 7
  • Debian 7
  • RHEL (Red Hat Enterprise Linux) 6 et 7
  • Ubuntu 10.04 et 12.04
  • Distributions Linux en fin de vie (par exemple CentOS 5)


Nous vous recommandons donc de vérifier si votre serveur est sujet à ce bug, d'installer les correctifs nécessaires et de redémarrer le serveur.
Vous pouvez vérifier l'exploit GHOST comme suit :

Comment vérifier votre serveur ?

Le moyen le plus simple - et le plus rapide - de savoir si votre serveur est impacté ou non est de vérifier la version de glibc sur votre serveur. Nous expliquons comment procéder dans Debian, Ubuntu, RHEL et CentOS.
Notez que cette vérification ne fonctionne également que pour la bibliothèque système générale GNU C, pas pour les packages auto-compilés.

Serveurs Debian et Ubuntu

Vérifiez la version de glibc en vérifiant la version de ldd (ldd utilise glibc) :

ldd --version

La sortie vous montrera la version d'elibbc, la variante glibc utilisée par Debian et Ubuntu :

ldd (Debian EGLIBC <strong><u>2.13-38+deb7u7</u></strong>) 2.13
Copyright (C) 2011 Free Software Foundation, Inc.
This is free software; see the source for copying conditions. There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.
Written by Roland McGrath and Ulrich Drepper.

Dans notre exemple, nous montrons la version soulignée et en gras. Si la version sur votre serveur est supérieure ou égale à l'un des éléments suivants, vous n'êtes pas éligible pour la vulnérabilité GHOST.

  • Ubuntu 12.04: 2.15-0ubuntu10.10
  • Ubuntu 10.04: 2.11.1-0ubuntu7.20
  • Debian 7: 2.13-38+deb7u7

Si votre version est PLUS ANCIENNE que celle ci-dessus, veuillez mettre à niveau votre serveur (voir ci-dessous).

Serveurs RHEL et CentOS

Le moyen le plus simple de vérifier la version de glibc consiste à utiliser rpm :

rpm -q glibc

Vous verrez l'affichage suivant, contenant le numéro de version dans le package :

glibc-<strong><u>2.12-1.132</u></strong>.el6_5.3.x86_64

Si la version que vous récupérez est plus récente ou égale à l'une des versions ci-dessous, vous n'êtes pas éligible à la vulnérabilité GHOST.

  • CentOS 6: glibc-2.12-1.149.el6_6.5
  • CentOS 7: glibc-2.17-55.el7_0.5
  • RHEL 5: glibc-2.5-123.el5_11.1
  • RHEL 6: glibc-2.12-1.149.el6_6.5
  • RHEL 7: glibc-2.17-55.el7_0.5

Si votre version est PLUS ANCIENNE que celle ci-dessus, veuillez mettre à niveau votre serveur (voir ci-dessous).

Comment corriger la vulnérabilité ?

Le moyen le plus rapide et le plus simple de mettre à jour la version de glibc consiste à utiliser le gestionnaire de packages de votre distribution Linux : apt-get ou yum, par exemple.

Debian et Ubuntu: apt-get

Pour les serveurs Debian et Ubuntu, nous vous recommandons de mettre à niveau votre serveur vers la dernière version via apt-get dist-upgrade :

apt-get update && apt-get dist-upgrade

Suivez les étapes et après l'installation - cela peut prendre un certain temps - redémarrez votre serveur. Vérifiez ensuite à nouveau (voir ci-dessus) si la version de la glibc est correcte.

CentOS et RHEL: yum

La mise à jour de glibc est la plus rapide via yum :

yum update glibc

Suivez les étapes et après l'installation - cela peut prendre un certain temps - redémarrez votre serveur. Vérifiez ensuite à nouveau (voir ci-dessus) si la version de la glibc est correcte.


Articles connexes

Pourquoi un triangle d'avertissement s'affiche-t-il sur un site HTTPS?

Les avertissements ou les icônes indiquant des problèmes de sécurité sur un site web indiquent généralement des problèmes potentiels qui...

En savoir plus

Découvrez comment nous avons corrigé une erreur de blocage lors de la mise à niveau d'ESXi 6.5 vers 7.0 update 2 via vSphere Lifecycle Manager ici.

Kinamo maintient plusieurs clusters VMware vSphere, non seulement pour notre propre infrastructure, mais aussi pour divers clients. Comme vous le...

En savoir plus

Hoe de taal van Kinamo webmail aanpassen

Dit FAQ-artikel legt uit hoe je de taal van de gebruikersinterface kunt aanpassen in Kinamo Webmail

En savoir plus

Besoin d'aide supplémentaire?

Vous n'avez pas obtenu de réponse à toutes vos questions?
Ne vous inquiétez pas, faites une demande d'assistance!

Kinamo

Sélectionnez votre langue

Toutes les langues: