Viestintävirasto varoittaa vakavasta haavoittuvuudesta Linux-käyttöjärjestelmän GNU C-kirjastossa (glibc):
https://www.viestintavirasto.fi/tietoturva/haavoittuvuudet/2015/haavoittuvuus-2015-006.html
Haavoittuvuus (CVE-2015-0235 tai GHOST) rajoittuu tietojemme mukaan sovelluksiin, jotka käyttävät gethostbyname() ja gethostbyname2() -funktioita. Useimmat sovellukset käyttävät nykyään getaddrinfo() -funktiota.
Esimerkiksi Exim-postipalvelin on haavoittuvainen, mutta seuraavat yleisesti käytetyt sovellukset eivät ilmeisesti ole: apache, cups, dovecot, gnupg, isc-dhcp, lighttpd, mariadb/mysql, nfs-utils, nginx, nodejs, openldap, openssh, postfix, proftpd, pure-ftpd, rsyslog, samba, sendmail, sysklogd, syslog-ng, tcp_wrappers, vsftpd, xinetd
Haavoittuvuus on tästä huolimatta syytä paikata ensi tilassa. Haavoittunut palvelin tulee käynnistää uudelleen korjauksen asentamisen jälkeen.
Päivitys 5.2.2015:
- Kaikki asiakkaidemme ylläpidetyt palvelut ja Jelastic-ympäristöt päivitettiin ylimääräisessä huoltokatkossa 29.1.2015.
- Lähetämme tänään 5.2.2015 sähköpostin niille asiakkaille, jotka ylläpitävät itse palvelintaan ja joissa päivitys on vielä asentamatta. Suosittelemme että päivitys tehdään ennen säännöllistä huoltokatkoa 7.2.2015 kello 00.00-07.00.
Ylläpidetyt palvelut
Ylläpitomme on päivittänyt korjattut versioita GNU C-kirjastosta kaikkiin asiakkaidemme kotisivu-, webhotelli- ja sähköpostipalveluihin, Jelastic-ympäristöihin sekä niihin Linux-käyttöjärjestelmällä varustettuihin palvelimiin ja virtuaalipalvelimiin, joissa on käytössä Ylläpitopalvelu-lisäpalvelu.
Asiakkaiden itse ylläpitämät palvelimet
Asiakas on itse vastuussa tietoturvapäivitysten asentamisesta niihin palvelimiinsa, joissa ei ole käytössä Ylläpitopalvelu-lisäpalvelua. Tällöin asiakkaalla itsellään on pääkäyttäjän tunnukset palvelimelle. Päivityksen voi tehdä esimerkiksi seuraavalla tavalla (omalla vastuulla):
1. Kirjaudu SSH-pääteyhteydellä palvelimelle pääkäyttäjän (root) tunnuksella
2. Päivitä GNU C -kirjasto uusimpaan versioon komentoriviltä
CentOS 5, CentOS 6 ja CentOS 7 -jakelut:
yum clean all && yum -y update glibc
Debian Squeeze 6, Debian Wheezy 7, Ubuntu 10.04 LTS ja Ubuntu 12.04 LTS -jakelut:
apt-get update && apt-get -y install libc6
Ubuntu 14.04 LTS (Trusty Tahr)
Ubuntu 14.04 LTS (Trusty Tahr) ei ole haavoittuvainen.
RHEL4 / CentOS 4
Kaikki asiakkaidemme RHEL4 / CentOS 4 legacy-palvelimet on päivitetty ylläpitomme toimesta.
Vanhemmat Debian -jakelut
Debian 5 (Lenny) käyttöjärjestelmään on saatavilla päivitys asiakaspalvelustamme. Tätä vanhempiin ei ole tällä hetkellä saatavilla korjausta.
3. Käynnistä palvelin uudelleen hallintapaneelista tai komentoriviltä
reboot
Halutessaan asiakas voi myös tilata päivityksen itse ylläpitämäänsä palvelimeen ylläpidoltamme. Päivityksen hinta on 150 euroa + ALV 24 %.