Guía de actualización para sistemas Debian
Tomada de kinomakino:
Esta es una pequeña guía para sistemas basados en Debian, apt-get friendly, para actualizar mi Kali linux a modo de ejemplo. Espero que les sirva de ayuda.
Lo primero que hacemos es salir del entorno gráfico, generalmente con Ctrl+Alt+F1.
Paramos nuestro servidor gráfico, en mi caso, GDM, genome desktop manager.
Comprobamos la versión de glibc6, con el comando dkpg -s glibc6. Vemos la salida, y comprobamos la versión.
En el fichero de fuentes, /etc/apt/sources.list, añadimos el repositorio de Debian para la versión SID. deb sid main. Hacemos un apt-get update para actualizar la lista de paquetes.
Ejecutamos la actualización del paquete en concreto, con apt-get install glibc6.
Una vez terminado, volvemos a comprobar la versión del paquete, esta vez 2.19-13 a priori, no vulnerable.
Para comprobar qué servicios están usando esta librería, podemos ejecutar este comando: lsof | grep libc | awk ‘{print $1}’ | sort | uniq. En teoría deberíamos reiniciar los servicios que se nos muestren, aunque sinceramente, creo que la mejor opción es reiniciar.
Podemos comprobar si estamos protegidos o no con esta sencilla prueba de concepto:
1 2 3 |
wget https://gist.githubusercontent.com/koelling/ef9b2b9d0be6d6dbab63/raw/de1730049198c64eaf8f8ab015a3c8b23b63fd34/gistfile1.c gcc gistfile1.c -o CVE-2015-0235 ./CVE-2015-0235 |
Podemos apreciar que ya no somos vulnerables.
Mientras que otros sistemas sin actualizar, por ejemplo Centos 6.5, nos aparece:
Conclusión
Estamos sin duda, junto con Shellshock, ante una de las vulnerabilidades en sistemas Linux más importantes de los últimos años. Sin duda el buen trabajo realizado por los investigadores que han descubierto esta vulnerabilidad evitará que muchos sistemas vean comprometida su seguridad.
Sin embargo, es muy probable que queden muchos sistemas sin actualizar, especialmente aquellos que gobiernan dispositivos englobados dentro del Internet de las cosas y eso es algo que debería preocuparnos a medio plazo.
Discusión