Produkty Kerio®, a podatność biblioteki glibc Linux (tzw. GHOST)
Wykryta ostatnio podatność Linux (CVE-2015-0235), przy wykorzystaniu której osoba niepowołana, przy użyciu biblioteki systemowej glibc, może uzyskać dostęp do administracji serwerem, umożliwiający wykonanie dowolnego kodu, dotknęła także produktów Kerio®. Poniżej przedstawiamy kroki, które należy podjąć, aby w pełni wyeliminować niebezpieczeństwo ataku przy wykorzystaniu tej luki.
Kerio® Connect
Podatne systemy
Wszystkie systemu rodziny Linux, wspierane przez Kerio Connect, w tym Debian, Ubuntu, Red Hat, CentOS (SUSE i openSUSE dla Kerio Connect 8.3.x i starszych)
Rozwiązanie
Utrzymuj system operacyjny w pełni zaktualizowany oraz pamiętaj o restarcie serwera po zainstalowaniu najnowszej aktualizacji biblioteki glibc.
Debian 7 (& Virtual Appliance Kerio Connect 8.3.x i nowsze)
W celu przeprowadzenia aktualizacji, w terminalu wykonaj „sudo apt-get update” i „sudo apt-get upgrade”. Aby sprawdzić wersję aktualnie wykorzystywanej biblioteki wpisz „sudo dpkg -s libc6”. Właściwa wersja to 2.13.38+deb7u7.
Debian 6 (& Virtual Appliance Kerio Connect 8.2.x i starsze)
W celu przeprowadzenia aktualizacji, w terminalu wykonaj „sudo apt-get update” i „sudo apt-get upgrade”. Aby sprawdzić wersję aktualnie wykorzystywanej biblioteki wpisz „sudo dpkg -s libc6”. Właściwa wersja to 2.11.3-4+deb6u4.
Red Hat
Aktualizacja jest dostępna przez sieć Red Hat Network.
CentOS
W terminalu uruchom „sudo yum update”. Zaktualizowana wersja biblioteki znajduje się na https://rhn.redhat.com/errata/RHSA-2015-0092.html. Aby sprawdzić wersję aktualnie wykorzystywanej biblioteki użyj komendy „sudo rpm -q glibc”.
Ubuntu
W celu przeprowadzenia aktualizacji, w terminalu wykonaj „sudo apt-get update” i „sudo apt-get upgrade”. Aby sprawdzić wersję aktualnie wykorzystywanej biblioteki wpisz „sudo dpkg -s libc6”. Właściwą wersje biblioteki znajdziesz na https://launchpad.net/ubuntu/+source/eglibc.
Aktualizacja Kerio® Connect Virtual Appliance
Przed wykonaniem komendy „apt-get update” upewnij się, że plik /etc/apt/sources.list zawiera zaktualizowaną listę repozytoriów systemu Debian. Lista powinna zawierać trzy repozytoria: main packages, updates i security updates. Aby dokonać edycji tego pliku użyj polecenia „sudo nano /etc/apt/sources.list”.
Dla Debian 7 (Wheezy) plik powinien zawierać:
deb http://ftp.debian.org/debian wheezy main
deb-src http://ftp.debian.org/debian wheezy main
deb http://ftp.debian.org/debian wheezy-updates main
deb-src http://ftp.debian.org/debian wheezy-updates main
deb http://security.debian.org/ wheezy/updates main
deb-src http://security.debian.org/ wheezy/updates main
Dla Debian 6 (Squeeze) plik powinien zawierać:
deb http://ftp.debian.org/debian/ squeeze main contrib
deb-src http://ftp.debian.org/debian/ squeeze main contrib
deb http://security.debian.org/ squeeze/updates main contrib
deb-src http://security.debian.org/ squeeze/updates main contrib
deb http://ftp.debian.org/debian squeeze-lts main contrib
deb-src http://ftp.debian.org/debian squeeze-lts main contrib
Kerio® Control
Kerio Control box, software oraz virtual appliance do wersji 8.4.2 zawierają podatną bibliotekę glibc. Luka nie może być zdalnie wykorzystana, jeśli Control używa własnego rozwiązywania DNS. Nowa wersja Kerio Control 8.4.3, zawierająca patch dla biblioteki glibc, jest dostępna do pobrania ze strony producenta lub za pomocą kontrolera aktualizacji w web administracji.
Kerio® Operator
Kerio Operator box oraz software appliance do wersji 2.3.4 zawierają podatną bibliotekę glibc. W standardowej konfiguracji, luka może być wykorzystana wyłącznie z sieci lokalnej. Administratorom Kerio Operator, producent rekomenduje korzystanie ze standardowej konfiguracji wbudowanego firewalla oraz nie wystawiania provisioningu sprzętowych telefonów do sieci publicznej. Nowa wersja Kerio Operator 2.3.4 patch 1, zawierająca aktualizację biblioteki glibc, jest dostępna do pobrania ze strony producenta lub za pomocą kontrolera aktualizacji w web administracji.