使用Linux？停止您正在做的事情并应用此补丁

GNU C库周二未发现的缓冲区溢出漏洞对无数Linux用户构成严重威胁。

返回到2008年的Glibc 2.9的发布，CVE-2015-7547是Glibc DNS客户端解析器中的基于堆栈的缓冲区溢出错误，当使用特定库函数时，打开远程代码执行的门。使用该功能的软件可以利用攻击者控制的域名，攻击者控制的DNS服务器或中间人攻击。

此外，Glibc还在去年发现的“Ghost”漏洞的核心，是一个C库，它在Linux系统上定义了系统调用和其他基本功能。它的维护者显然在去年7月显然得到了新问题，但如果当时推出任何修复努力，它就不清楚。

谷歌和红帽独立报告了本周问题，现在可以提供补丁。

“我们的初步调查显示，此问题自2.9以来影响了Glibc的所有版本，”谷歌在其在线安全博客中解释。但是，如果您处于旧版本，则应肯定更新。如果检测到漏洞，机器所有者可能希望采取措施减轻攻击的风险。“

对于无法立即修补的人，谷歌发现了一些可能有助于防止开发的缓解，包括本地DNS解析器接受的限制响应大小。

该公司不计划释放其利用代码，但它确实发布了概念验证代码，以帮助用户确定它们是否“重新受到问题的影响并验证任何缓解。

“这一有趣的部分是DNS是一个核心基础设施组成部分，这意味着大量的子系统和应用程序可能会受到影响，”Duo安全的高级安全研究员Mark Loveless说。“最初列出的主要内容是SSH，CURL，WGET和类似的命令行Linux实用程序，但其他进程可能也可以以漏洞所需的确切方式使用图书馆呼叫。”

理论上，使用Glibc的其他非Windows系统也可能受到影响，添加无爱，包括其他基于UNIX的操作系统甚至移动设备或平板电脑的操作系统。

根据Kaspersky Lab的一篇文章，所有Linux服务器和Web框架（如Rails，PHP和Python）可能会受到影响，并且Android应用程序正在运行Glibc。