GNU C Library 'memalign'函数整数溢出漏洞

GNU C Library ‘memalign’函数整数溢出漏洞-CVE-2018-6485漏洞修复

最近阿里云服务器提示“GNU C Library ‘memalign’函数整数溢出漏洞”,“CVE-2018-6485”,并且是严重漏洞,让小白觉得该是如何是好,本身对Linux服务器就不是很懂,又冒出个严重漏洞,接下来博主和大家一起研究一下该漏洞吧。

漏洞基本信息:

标题: GNU C Library ‘memalign’函数整数溢出漏洞
CVSS分值: 9.8
CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
披露时间: 2018-02-01
CVE ID: CVE-2018-6485

简介:

GNU C Library(又名glibc,libc6)是一种按照LGPL许可协议发布的开源免费的C语言编译程序。

GNU C Library 2.26及之前版本中的'memalign'函数的posix_memalign存在整数溢出漏洞。攻击者可利用该漏洞造成堆破坏。

解决方案:

请直接在漏洞处理页面,选择对应服务器和漏洞,生成修复命令后,登录到服务器上运行即可。

阿里云漏洞修复

根据截图,阿里云也给出了命令的信息,但是小白还是不放心,毕竟对Linux不是很熟悉,仅仅会两个命令又怕执行命令错误服务器出问题了。下面就来一起研究一下如何修复该漏洞吧。用putty.exe连接一下自己的服务器,输入用户名和密码,然后依次执行下列命令:

GNU C Library 'memalign'函数整数溢出漏洞

yum update glibc
yum update glibc-common
yum update glibc-devel
yum update glibc-headers
yum update nscd

执行完毕后重启,然后去阿里云验证一下就OK了

 

评论已关闭。