18.2.2016 Tekniset tiedotteet

Haavoittuvuus Linux-käyttöjärjestelmän GNU C -kirjastossa

huoltokatko

Viestintävirasto varoittaa vakavasta haavoittuvuudesta Linux-käyttöjärjestelmän GNU C -kirjastossa (CVE-2015-7547):

Haavoittuvuus 026/2016

GNU C-kirjaston (glibc) -funktiosta getaddrinfo on löydetty puskurin ylivuotohaavoittuvuus, joka voi pahimmillaan mahdollistaa hyökkääjän ohjelmakoodin suorittamisen kohdejärjestelmässä. Tietoturvapäivitykset on julkaistu useimmille Linux-jakeluille.

Ylläpidetyt palvelut

Ylläpitomme asentaa tarvittavan tietoturvapäivityksen ylimääräisessä huoltokatkossa perjantain ja lauantain välisenä yönä 20.2.2016 kello 00.00-04.00 välisenä aikana kaikkiin asiakkaidemme kotisivu-, webhotelli- ja sähköpostipalveluihin sekä niihin Linux-käyttöjärjestelmällä varustettuihin palvelimiin ja virtuaalipalvelimiin, joissa on käytössä Ylläpitopalvelu-lisäpalvelu.

Palvelimet käynnistetään tässä yhteydessä uudelleen ja siitä seuraa muutamien minuuttien kestäviä katkoksia palvelussa. Tämä ei edellytä asiakkailta erityisiä toimenpiteitä.

Jelastic-palvelu

Ylläpitomme asentaa tarvittavan tietoturvapäivityksen torstain 18.2.2016 aikana. HUOM! Päivitys on kaikilta osin käytössä vasta kun Jelastic ympäristö (virtuaalipalvelin / container) on käynnistetty uudelleen. Suosittelemme tekemään tämän perjantain 19.2.2016 aikana seuraavasti:

  • Kirjaudu Jelastic-hallintapaneeliin
  • Paina halutun ympäristön kohdalla Stop / Sammuta nappia
  • Odota että ympäristö on tilassa Stopped / Lopetettu
  • Paina ympäristön kohdalla Start / Käynnistä nappia

Asiakkaiden itse ylläpitämät palvelimet

Asiakas on itse vastuussa tietoturvapäivitysten asentamisesta niihin palvelimiinsa, joissa ei ole käytössä Ylläpitopalvelu-lisäpalvelua. Tällöin asiakkaalla itsellään on pääkäyttäjän tunnukset palvelimelle. Päivityksen voi tehdä esimerkiksi seuraavalla tavalla (omalla vastuulla):

1. Kirjaudu SSH-pääteyhteydellä palvelimelle pääkäyttäjän (root) tunnuksella

2. Päivitä GNU C -kirjasto uusimpaan versioon ja käynnistä palvelin uudelleen

CentOS 6 ja CentOS 7 -jakelut:

yum clean allyum -y update glibcreboot

Debian 7 Wheezy, Debian 8 Jessie, Ubuntu 12.04 LTS ja Ubuntu 14.04 LTS -jakelut:

apt-get updateapt-get -y install libc6reboot

Debian 6 Squeeze

echo "deb http://ftp.fi.debian.org/debian/ squeeze-lts main contrib non-free" >> /etc/apt/sources.list.d/squeeze-lts.listapt-get updateapt-get -y install libc6reboot

Vanhemmat Linux-jakelut:

  • Ubuntu 10.04 LTS on haavoittuva, mutta sille ei ole saatavilla tietoturvapäivitystä
  • CentOS 5 ja RHEL 5 tai vanhemmat versiot eivät ole haavoittuvia
  • Debian 5 Lenny tai vanhemmat versiot eivät ole haavoittuvia
Halutessaan asiakas voi myös tilata päivityksen itse ylläpitämäänsä palvelimeen ylläpidoltamme. Päivityksen hinta on 150 euroa + ALV 24 %. Ottakaa yhteyttä asiakaspalveluumme.