Linux出現重大「鬼」漏洞！
網路安全暨漏洞管理業者Qualys揭露一個嚴重的Linux漏洞，
這個被稱為「GHOST」的漏洞位於Linux glibc library中，
允許駭客從遠端掌控含有漏洞的系統。
glibc亦被稱為GNU C函式庫，為一開放源碼且被廣泛使用的C語言函式庫，
它支援多種Linux平台，被視為Linux平台上的重要元件，
缺乏glibc的Linux系統甚至無法運作。
Qualys漏洞實驗室總監Amol Sarwate表示，
他們在glibc的 __nss_hostname_digits_dots() 功能中發現一個緩衝區溢位漏洞，
只要是經由本機或遠端各種將網站名稱轉成IP位址的gethostbyname*() 功能
就可觸發該漏洞，駭客可藉以掌控受駭系統，自遠端執行任何程式。
由於此一漏洞是經由GetHOST功能觸發，因而被簡稱為GHOST。
Sarwate指出，他們已打造出一個概念驗證程式，傳遞一個特製的電子郵件至郵件伺服器，
取得了進入Linux機器的遠端介面，成功繞過不論是32位元或64位元系統的各種保護機制。
雖然含有該漏洞的glibc是在2000年11月所釋出的glibc 2.2，
而且在2013年的3月就已被修補，
然而，不少Linux版本仍然使用尚未修補的glibc，因而招致重大的安全風險，
包括Debian 7、Red Hat Enterprise Linux 6/7、CentOS 6/7及Ubuntu 12.04等。
上述業者已在本周二同步更新了受影響的作業系統，
Qualys則說稍後才會釋出概念性驗證攻擊程式，要留點時間給使用者修補。
iThome
http://www.ithome.com.tw/news/93791

arch表示安定( ￣ c￣)y▂ξ

我想應該是很多人的電腦上還裝著舊版本

gpl v3 ?

當初被當成一般bug而不是安全性漏洞處理所以各個發行版的LTS版都沒有back port回去

我發現我的arch用的是2.20-6...是同一版？

不是

fedora表示:那是什麼史前時代的東西?

這邊Ubuntu 12.04用的是2.15欸，應該沒問題了？超級北上大人是在Linux上玩艦娘嗎

http://ma19.moe/hDmJT 這邊有測試code可以測試看看自己系統有沒有中獎

慘 用上面的測試 一堆機器都中

咦，上面那個縮址... 不蘇湖 XD結果更新完就沒事了，所以大概是這一兩個月補的

這個bug似乎在上游的2.18才修掉，所以很多LTS版因為上游

centos是當成一般bug,難怪僅更新安全性漏洞都沒更新到.

沒發安全性公告的關係都沒補XD

還要重開機才行