glibc の脆弱性 CVE-2015-0235(通称:GHOST)のAmazon Linux AMI対応

@iwasaki 424views 更新:2015年1月28日

glibcの脆弱性情報(通称:GHOST)がアナウンスされました。

EC2インスタンスでの確認手順です。

# rpm -aq |  grep glibc
glibc-common-2.17-55.93.amzn1.x86_64
glibc-2.17-55.93.amzn1.x86_64
glibc-devel-2.17-55.93.amzn1.x86_64
glibc-headers-2.17-55.93.amzn1.x86_64
glibc-2.17-55.93.amzn1.i686
glibc-static-2.17-55.93.amzn1.x86_64

glibc-2.17-55.93.amzn1 になっていればOKです。

/lib/libc.so.6 による確認方法を案内しているところもありますが、

glibc-2.17までしかわからないため、Amazon Linux AMIを使っている場合はrpmで確認したほうが確実です。

# /lib/libc.so.6
GNU C Library (GNU libc) stable release version 2.17, by Roland McGrath et al.
Copyright (C) 2012 Free Software Foundation, Inc.
This is free software; see the source for copying conditions.
There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A
PARTICULAR PURPOSE.
Compiled by GNU CC version 4.8.2 20140120 (Red Hat 4.8.2-16).
Compiled on a Linux 3.2.5 system on 2015-01-27.
Available extensions:
    The C stubs add-on version 2.1.2.
    crypt add-on version 2.1 by Michael Glad and others
    GNU Libidn by Simon Josefsson
    Native POSIX Threads Library by Ulrich Drepper et al
    BIND-8.2.3-T5B
    RT using linux kernel aio
libc ABIs: UNIQUE IFUNC
For bug reporting instructions, please see:
<http://www.gnu.org/software/libc/bugs.html>.

アップデート手順

yum clean all
yum update glibc

上記コマンドを実行してからインスタンスを再起動しましょう

AmazonのセキュリティアップデートがかかるのがAMIから新規でインスタンスを立ち上げるタイミングのようで、すでに起動しているインスタンスをRestartやStop,Startしても更新がかからないようです。

ベストは今あるインスタンスを捨ててしまってAMIから新しいインスタンスを起動するのが一番です。

参考

http://d.hatena.ne.jp/Kango/20150128/1422409960

http://www.walbrix.com/jp/blog/2015-01-ghost.html

CVE-2015-0235 Advisory (Ghost)

2015/01/29 17:50追記

glibcが変わるとタイムゾーンが変わってしまう場合は以下を確認

# cat /etc/sysconfig/clock
ZONE="Asia/Tokyo" 
UTC=true
# cp -p /usr/share/zoneinfo/Japan /etc/localtime
# cat /etc/sysconfig/i18n
LANG="ja_JP.UTF-8"

再起動後は以下を確認

# date
# rpm -aq |  grep glibc
# tail /var/log/cron

ログイン / 新規登録してコメントする

このソースコードをストックして後で利用したり、作業に利用したソースコードをまとめることができます。

こちらもお役に立つかもしれません