鉴于 glibc DNS 漏洞,为什么 Linux 发行版不更新安装映像?

信息安全 dns 脆弱性 glibc
2021-09-05 13:47:20

由于最初安装的包管理器易受攻击,这是否会使更新新安装的 Linux 实例的行为变得不安全?我错过了什么吗?

例如,当前的 Ubuntu 15.10 映像日期为 10 月 21 日 ( http://releases.ubuntu.com/15.10 ),而 Fedora 23 映像的日期为 10 月 30 日 ( http://mirror.cc.vt.edu/pub/fedora/linux /releases/23/Workstation/x86_64/iso)。这是为什么?

此 Ubuntu 安全公告称 15.10 版本受到影响:http ://www.ubuntu.com/usn/usn-2900-1 ,但安装映像自首次发布以来似乎从未更新过。

我担心的是:据我了解,任何使用 glibc 执行 DNS 查询的应用程序都是易受攻击的,包管理器必须执行 DNS 查询以查找镜像并以 root 身份运行,并且该漏洞已经被知道有一段时间了.

apt 和 RPM 是否使用不同的库来执行其 DNS 查询,或者是否有一些防御措施来防止此漏洞被利用?

是不是发行版的安全团队根本无法应对每天发现的大量漏洞,即“使用计算机?除了木马/rootkits!” 必须接受计算机安全的现实吗?

1个回答

维护分发是一项艰苦的工作。测试软件包、升级软件包、与下游开发人员沟通等需要大量的物流。

安装盘是用户使用该软件的第一次体验,它只需要工作即可。如果没有,则用户没有安装软件。所以这就是为什么发行版只发布点发布并经常升级安装软件。如果您必须在每次安全更新时重建软件,那么您会经常这样做,您可能会更频繁地遇到质量控制问题,这是可以接受的。

我会说您是正确的,该软件在首次安装时会受到攻击。这是分发维护者(可能)权衡和接受的权衡。安装后,通常发生的第一件事是更新软件。在此期间,有人可能会利用 glibc 漏洞存在一些小风险。在修补 glibc 漏洞之前,唯一会发生的 DNS 查找将是镜像站点,因此攻击者要么必须控制它,要么执行 MiTM 攻击。

其它你可能感兴趣的问题
上一篇什么可能导致 sshd 出现“错误的数据包长度”? 下一篇43 个字符的 GPG(对称)密码是否与 256 位密钥一样安全?