背景:当glibc<2.18,存在glibc幽灵漏洞(CVE-2015-0235)。
先对比下源码编译、RPM 包和 YUM 三种安装方法的优劣:
源码编译:可以自行指定编译参数,自由度高,略显麻烦。但是如果不安装最新版本,BUGs 和 CVEs 是不会被修复的,和咸鱼没什么差别;
RPM 包安装:官方没有高版本的 RPM 包,只好使用可信第三方制作的,有时制作时间是几年前,和不使用最新版本的源码编译差不多,不会去打补丁;
YUM 安装:虽然 YUM 源中的版本都很低,而且万年不动,但是时常更新,一般会打补丁(patch),安全性较高,奈何版本太低(最高版本在glibc-2.12)。
升级前说明:先在测试环境中自己先检验一遍。
我的系统版本:CentOS release 6.5(Final)
rpm升级glibc
首先确定当前系统装了 GLIBC 的哪些包,以及最高支持版本。
[root@localhost ~]# rpm -qa | grep glibc
glibc-2.12-1.192.el6.x86_64
glibc-devel-2.12-1.192.el6.x86_64
glibc-headers-2.12-1.192.el6.x86_64
glibc-common-2.12-1.192.el6.x86_64
[root@localhost ~]# strings /lib64/libc.so.6 | grep GLIBC
GLIBC_2.2.5
GLIBC_2.2.6
GLIBC_2.3
GLIBC_2.3.2
GLIBC_2.3.3
GLIBC_2.3.4
GLIBC_2.4
GLIBC_2.5
GLIBC_2.6
GLIBC_2.7
GLIBC_2.8
GLIBC_2.9
GLIBC_2.10
GLIBC_2.11
GLIBC_2.12
GLIBC_PRIVATE
得知系统中安装了 x86_64 的 glibc 、 glibc-common 、 glibc-devel 、 glibc-headers ,并且版本是 2.12-1.192.el6 ,所以升级时我们要下载新版本的以上 4 种 RPM 包。
接下来可以去http://rpm.pbone.net/搜索下载,或者从百度云盘直接获取:https://pan.baidu.com/s/1kTzXS_nWuyacPL9GtEavPQ 提取码:k6fh
下载完成后,直接进行升级.
rpm -Uvh --aid --nodeps glibc-2.18-11.fc20.x86_64.rpm glibc-common-2.18-11.fc20.x86_64.rpm glibc-devel-2.18-11.fc20.x86_64.rpm glibc-headers-2.18-11.fc20.x86_64.rpm
升级完毕之后我们再看centos依赖的glibc
[root@localhost ~]# strings /lib64/libc.so.6 | grep GLIBC
GLIBC_2.2.5
GLIBC_2.2.6
GLIBC_2.3
GLIBC_2.3.2
GLIBC_2.3.3
GLIBC_2.3.4
GLIBC_2.4
GLIBC_2.5
GLIBC_2.6
GLIBC_2.7
GLIBC_2.8
GLIBC_2.9
GLIBC_2.10
GLIBC_2.11
GLIBC_2.12
GLIBC_2.13
GLIBC_2.14
GLIBC_2.15
GLIBC_2.16
GLIBC_2.17
GLIBC_2.18
GLIBC_PRIVATE
通过命令查看
[root@localhost ~]#ll /lib64/libc*
完成glibc升级.
注:需安排重启时间后,该漏洞才会修复!
辅助博文: