背景:當glibc<2.18,存在glibc幽靈漏洞(CVE-2015-0235)。
先對比下源碼編譯、RPM 包和 YUM 三種安裝方法的優劣:
源碼編譯:可以自行指定編譯參數,自由度高,略顯麻煩。但是如果不安裝最新版本,BUGs 和 CVEs 是不會被修復的,和咸魚沒什么差別;
RPM 包安裝:官方沒有高版本的 RPM 包,只好使用可信第三方制作的,有時制作時間是幾年前,和不使用最新版本的源碼編譯差不多,不會去打補丁;
YUM 安裝:雖然 YUM 源中的版本都很低,而且萬年不動,但是時常更新,一般會打補丁(patch),安全性較高,奈何版本太低(最高版本在glibc-2.12)。
升級前說明:先在測試環境中自己先檢驗一遍。
我的系統版本:CentOS release 6.5(Final)
rpm升級glibc
首先確定當前系統裝了 GLIBC 的哪些包,以及最高支持版本。
[root@localhost ~]# rpm -qa | grep glibc
glibc-2.12-1.192.el6.x86_64
glibc-devel-2.12-1.192.el6.x86_64
glibc-headers-2.12-1.192.el6.x86_64
glibc-common-2.12-1.192.el6.x86_64
[root@localhost ~]# strings /lib64/libc.so.6 | grep GLIBC
GLIBC_2.2.5
GLIBC_2.2.6
GLIBC_2.3
GLIBC_2.3.2
GLIBC_2.3.3
GLIBC_2.3.4
GLIBC_2.4
GLIBC_2.5
GLIBC_2.6
GLIBC_2.7
GLIBC_2.8
GLIBC_2.9
GLIBC_2.10
GLIBC_2.11
GLIBC_2.12
GLIBC_PRIVATE
得知系統中安裝了 x86_64 的 glibc 、 glibc-common 、 glibc-devel 、 glibc-headers ,並且版本是 2.12-1.192.el6 ,所以升級時我們要下載新版本的以上 4 種 RPM 包。
接下來可以去http://rpm.pbone.net/搜索下載,或者從百度雲盤直接獲取:https://pan.baidu.com/s/1kTzXS_nWuyacPL9GtEavPQ 提取碼:k6fh
下載完成后,直接進行升級.
rpm -Uvh --aid --nodeps glibc-2.18-11.fc20.x86_64.rpm glibc-common-2.18-11.fc20.x86_64.rpm glibc-devel-2.18-11.fc20.x86_64.rpm glibc-headers-2.18-11.fc20.x86_64.rpm
升級完畢之后我們再看centos依賴的glibc
[root@localhost ~]# strings /lib64/libc.so.6 | grep GLIBC
GLIBC_2.2.5
GLIBC_2.2.6
GLIBC_2.3
GLIBC_2.3.2
GLIBC_2.3.3
GLIBC_2.3.4
GLIBC_2.4
GLIBC_2.5
GLIBC_2.6
GLIBC_2.7
GLIBC_2.8
GLIBC_2.9
GLIBC_2.10
GLIBC_2.11
GLIBC_2.12
GLIBC_2.13
GLIBC_2.14
GLIBC_2.15
GLIBC_2.16
GLIBC_2.17
GLIBC_2.18
GLIBC_PRIVATE
通過命令查看
[root@localhost ~]#ll /lib64/libc*
完成glibc升級.
注:需安排重啟時間后,該漏洞才會修復!
輔助博文: