返回首页

张小三资源网
    站长必备网站 ╭∩╮(︶︿︶)╭∩╮!高性价比VPS推荐。
05月172016

CVE-2015-0235:Linux Glibc漏洞修复

Posted by 张小三资源网 2016年05月17日 Tags:

libc是GNU发布的libc库,即c运行库。glibc是linux系统中最底层的api,几乎其它任何运行库都会依赖于glibc。glibc除了封装linux操作系统所提供的系统服务外,它本身也提供了许多其它一些必要功能服务的实现。glibc 囊括了几乎所有的 UNIX 通行的标准。
查看版本,版本在Glibc 2.2 ~ Glibc 2.18范围内存在漏洞
CentOS:#rpm -qa|grep glibc

Ubuntu:dpkg -l|grep libc6

检测方法:命名下面代码为CS.c

#include 
#include 
#include 
#include 
#include 
 
#define CANARY "in_the_coal_mine"
 
struct {
  char buffer[1024];
  char canary[sizeof(CANARY)];
} temp = { "buffer", CANARY };
 
int main(void) {
  struct hostent resbuf;
  struct hostent *result;
  int herrno;
  int retval;
 
  /*** strlen (name) = size_needed - sizeof (*host_addr) - sizeof (*h_addr_ptrs) - 1; ***/
  size_t len = sizeof(temp.buffer) - 16*sizeof(unsigned char) - 2*sizeof(char *) - 1;
  char name[sizeof(temp.buffer)];
  memset(name, '0', len);
  name[len] = '\0';
 
  retval = gethostbyname_r(name, &resbuf, temp.buffer, sizeof(temp.buffer), &result, &herrno);
 
  if (strcmp(temp.canary, CANARY) != 0) {
    puts("vulnerable");
    exit(EXIT_SUCCESS);
  }
  if (retval == ERANGE) {
    puts("not vulnerable");
    exit(EXIT_SUCCESS);
  }
  puts("should not happen");
  exit(EXIT_FAILURE);
}
#* from http://www.openwall.com/lists/oss-security/2015/01/27/9 */

运行命令:
gcc cs.c -o CVE-2015-0235 ./CVE-2015-0235

如果出现vulnerable,表示存在漏洞;如果出现not vulnerable,表示不存在漏洞,无需进行补丁修复。

修复方案

升级glibc库

RHEL/CentOS : sudo yum update glibc

Ubuntu : sudo apt-get update ; sudo apt-get install libc6

apt-get不灵用aptitude install libc6

安装完重启OK。

老外vps无特别说明(即使用优惠码)都按优惠后的价格续费。此vps无爱可看之前其它文章
发现Out of Stock说明缺货中,可考虑购买其它VPS。自备谷歌浏览器有简单的翻译功能。

买老外的域名、vps都需美元。有信用卡可直接购买。无卡无美元的注册Paypal到淘宝找人充美元即可。老外VPS购买教程参考:http://www.zxsdw.com/index.php/archives/259/

添加新评论 »

zxsdw.jpg

张小三资源网QQ交流群:292348362

讯美IDC

最近回复

  • visual comfort lighting official website: 把2>端口转å>到某个蜜罐 p>
  • vsauce ad: 点击这里进入免费套餐购买地址。使用左侧的文件浏览器,导航到你已保存公钥的文件,选择公钥文件,然后点击...
  • vits usa cheshire ct: 应用: 类似于多进程方式,适用于少量的客户端的时候。优秀开源软件(Nginx,TFS等)的框架和代码...
  • 张小三资源网: 就一个,说不准啥时能用上,没法转。
  • 123456789: 大佬,双11买了几个啊,转给我一个呗
张小三资源网 is powered by Typecho))) 网站地图