Sikkerhetsvarsel/Security bulletin 2015-01-28: Alvorlig sårbarhet i glibc / Vulnerability in glibc

Det har blitt gjort kjent en alvorlig sårbarhet i glibc
(https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2015-0235).

Red Hat har sluppet oppdatering som fikser sårbarheten for RHEL5, RHEL6 og
RHEL7. Fedora skal ikke være sårbar.

For å sjekke om en maskin er patchet for sikkerhetshullet, kan man
verifisere at riktig versjon av RPM-pakken «glibc» er installert.
Kommandoen «rpm -q glibc» skal gi følgende output:

* For RHEL7:
      $ rpm -q glibc
      glibc-2.17-55.el7_0.5.x86_64
      glibc-2.17-55.el7_0.5.i686

* For RHEL6:
      $ rpm -q glibc
      glibc-2.12-1.149.el6_6.5.x86_64
      glibc-2.12-1.149.el6_6.5.i686

* For RHEL5:
      $ rpm -q glibc
      glibc-2.5-123.el5_11.1
      glibc-2.5-123.el5_11.1

Merk at dersom både 32bit- og 64bit-versjonen av glibc er installert på
64bit OS, vil man få ut to linjer som i eksemplene over.

Etter at glibc er oppgradert, må maskinen rebootes. Dette må gjøres så
snart som mulig.

Husk at også annet utstyr som kjører linux vil kunne være berørt. Vi
anmoder alle om å sørge for at alt linux-basert utstyr er fullt oppdatert.

Oppfølging av sikkerhetshullet gjøres av UiO-CERT i samarbeid med
driftsgrupper ved USIT. Ved spørsmål, ta kontakt med:

cert@usit.uio.no  - for henvendelser vedrørende selve sikkerhetshullet
usit-gsd@usit.uio.no  - for henvendelser relatert til patching og reboot
av Linux-maskiner

----

A vulnerability has been discovered in glibc
(https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2015-0235).

Red Hat has released updates for RHEL5, RHEL6 and RHEL7. Fedora is not
vulnerable.

To check if a machine has the correct version of glibc installed, run "rpm
-q glibc" and verify that the output matches:

* RHEL7:
      $ rpm -q glibc
      glibc-2.17-55.el7_0.5.x86_64
      glibc-2.17-55.el7_0.5.i686

* RHEL6:
      $ rpm -q glibc
      glibc-2.12-1.149.el6_6.5.x86_64
      glibc-2.12-1.149.el6_6.5.i686

* RHEL5:
      $ rpm -q glibc
      glibc-2.5-123.el5_11.1
      glibc-2.5-123.el5_11.1

If you have both 32-bit and 64-bit versions of glibc installed, the output
of the command will show both versions.

All machines must be rebooted after glibc has been updated, this has to be
done as soon as possible.

If you have any questions, please contact:

cert@usit.uio.no – for questions about the vulnarability
usit-gsd@usit.uio.no - for questions related to upgrading and rebooting
linux machines.

Publisert 28. jan. 2015 15:49
Del på e-post