Haavoittuvuus Linux glibc-kirjastossa (GHOST)

Viestintävirasto varoittaa vakavasta haavoittuvuudesta Linux-käyttöjärjestelmän GNU C-kirjastossa (glibc):

https://www.viestintavirasto.fi/tietoturva/haavoittuvuudet/2015/haavoittuvuus-2015-006.html

Haavoittuvuus (CVE-2015-0235 tai GHOST) rajoittuu tietojemme mukaan sovelluksiin, jotka käyttävät gethostbyname() ja gethostbyname2() -funktioita. Useimmat sovellukset käyttävät nykyään getaddrinfo() -funktiota.

Esimerkiksi Exim-postipalvelin on haavoittuvainen, mutta seuraavat yleisesti käytetyt sovellukset eivät ilmeisesti ole: apache, cups, dovecot, gnupg, isc-dhcp, lighttpd, mariadb/mysql, nfs-utils, nginx, nodejs, openldap, openssh, postfix, proftpd, pure-ftpd, rsyslog, samba, sendmail, sysklogd, syslog-ng, tcp_wrappers, vsftpd, xinetd

Haavoittuvuus on tästä huolimatta syytä paikata ensi tilassa. Haavoittunut palvelin tulee käynnistää uudelleen korjauksen asentamisen jälkeen.

Päivitys 5.2.2015:

  • Kaikki asiakkaidemme ylläpidetyt palvelut ja Jelastic-ympäristöt päivitettiin ylimääräisessä huoltokatkossa 29.1.2015.
  • Lähetämme tänään 5.2.2015 sähköpostin niille asiakkaille, jotka ylläpitävät itse palvelintaan ja joissa päivitys on vielä asentamatta. Suosittelemme että päivitys tehdään ennen säännöllistä huoltokatkoa 7.2.2015 kello 00.00-07.00.

Ylläpidetyt palvelut

Ylläpitomme on päivittänyt korjattut versioita GNU C-kirjastosta kaikkiin asiakkaidemme kotisivu-, webhotelli- ja sähköpostipalveluihin, Jelastic-ympäristöihin sekä niihin Linux-käyttöjärjestelmällä varustettuihin palvelimiin ja virtuaalipalvelimiin, joissa on käytössä Ylläpitopalvelu-lisäpalvelu.

Asiakkaiden itse ylläpitämät palvelimet

Asiakas on itse vastuussa tietoturvapäivitysten asentamisesta niihin palvelimiinsa, joissa ei ole käytössä Ylläpitopalvelu-lisäpalvelua. Tällöin asiakkaalla itsellään on pääkäyttäjän tunnukset palvelimelle. Päivityksen voi tehdä esimerkiksi seuraavalla tavalla (omalla vastuulla):

1. Kirjaudu SSH-pääteyhteydellä palvelimelle pääkäyttäjän (root) tunnuksella

2. Päivitä GNU C -kirjasto uusimpaan versioon komentoriviltä

CentOS 5, CentOS 6 ja CentOS 7 -jakelut:

yum clean all && yum -y update glibc

Debian Squeeze 6, Debian Wheezy 7, Ubuntu 10.04 LTS ja Ubuntu 12.04 LTS -jakelut:

apt-get update && apt-get -y install libc6

Ubuntu 14.04 LTS (Trusty Tahr)

Ubuntu 14.04 LTS (Trusty Tahr) ei ole haavoittuvainen.

RHEL4 / CentOS 4

Kaikki asiakkaidemme RHEL4 / CentOS 4 legacy-palvelimet on päivitetty ylläpitomme toimesta.

Vanhemmat Debian -jakelut

Debian 5 (Lenny) käyttöjärjestelmään on saatavilla päivitys asiakaspalvelustamme. Tätä vanhempiin ei ole tällä hetkellä saatavilla korjausta.

3. Käynnistä palvelin uudelleen hallintapaneelista tai komentoriviltä

reboot

Halutessaan asiakas voi myös tilata päivityksen itse ylläpitämäänsä palvelimeen ylläpidoltamme. Päivityksen hinta on 150 euroa + ALV 24 %.