Hallo

in der libc6 von Debian ist eine gravierende Sicherheitslücke entdeckt worden.

… ja, vor etwa zwei Jahren. Mit Debian hat das auch nur insofern zu tun, dass dies gerne als Server-BS genutzt wird, wo vorwiegend gut abgehangene und deswegen betroffen sein könnende Software eingesetzt wird.

Tschö, Auge

Liebe Mitdenker,
liebe Wissende,
liebe Neugierige,

ja!

noch ein wenig Anleitung eines Hosters, der bei (Wieder-)Auftreten von Lücken sehr zeitnah [heute vormittag] informiert. [die Anmerkungen sind von mir]:

<cite>~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

wir möchten Sie über eine aktuelle Sicherheitslücke - Codename GHOST -
informieren, die potentiell auch Ihre(n) Server bei uns betrifft. Es
handelt sich hierbei um einen Fehler in den libc-Funktionen
gethostbyname*, der unter Umständen zur Ausführung von Schadcode führen
kann. Diese Lücke kann in bestimmten Situationen sogar von aussen
ausgenutzt werden, ohne dass der Angreifer Zugänge zum System benötigt.

Weitere Informationen finden Sie unter folgenden Links:

https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability
https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt

Insbesondere bei Debian sind folgende Paketversionen NICHT mehr betroffen:

squeeze-lts: 2.11.3-4+deb6u4 (nicht betroffen)
wheezy: 2.13-38+deb7u7 (nicht betroffen)   [installiert war wheezy: 2.13-??+deb7u6]
jessie, sid: 2.19-13 (nicht betroffen)

Ältere Versionen (inklusive Sarge, Lenny und Squeeze-non-LTS) sind
hingegen verwundbar. Im Zweifelsfall verwenden Sie das unten genannte
Testkommando um Ihren Server zu prüfen.

Die aktuelle Version können Sie mit dem Befehl:

dpkg -s libc6 | grep Version

ersehen.

Falls Sie einen "Managed Server" bei uns gebucht haben wurden die
Updates bereits durch uns auf dem Hauptsystem eingespielt. Anderenfalls
bitten wir Sie, die Lücke schnellstmöglich zu schliessen.

Unter Debian ist das Vorgehen in etwa wie folgt:

• Prüfen, ob die richtigen Sources in /etc/apt/sources.list eingetragen
  sind (wheezy bzw squeeze-lts, ältere Versionen (inklusive squeeze)
  werden _nicht_ mehr gepflegt)

• apt-get update

• apt-get install libc6 (bzw. apt-get upgrade für eine vollständige

Aktualisierung aller Pakete)

• Ggf. betroffene Dienste neu starten (insbesondere Mailserver,
  Webserver, etc). Falls möglich wäre ein reboot die beste Lösung.

[bei crypted private Keys daran denken, dass manchmal die Passphrase-Eingabe erforderlich ist]

Mit folgendem Kommando können Sie testen, ob Ihr Server aktuell
verwundbar ist:

wget -qO - http://noc.n0q.de/files/ghost.sh | sh

Die Ausgabe hat folgende Bedeutung:
VULN - System verwundbar, updaten!
SAFE - System nicht verwundbar
FAIL - Fehler bei der Ausführung des Tests

Falls Sie Fragen zu diesem Thema haben steht Ihnen unser technischer
Support jederzeit zur Verfügung!

Mit freundlichen Grüßen

Antagus
Abteilung Serversupport

  
  
Spirituelle Grüße  
Euer Robert

-- 
Möge der Forumsgeist wiederbelebt werden!