这与最近的libyaml漏洞(CVE-2014-2525)有关。
我按照建议将Gemfile中的心理更新为2.0.5,但我的服务器上的libyaml版本仍然是0.1.4而不是0.1.6。
看起来使用最新的psych gem不会更新Ruby使用的libyaml版本。
2.0.0p353 :001 > Psych.libyaml_version
=> [0, 1, 4]
显然libyaml指向系统上安装的那个。请注意libyaml-0.so.2如何指向/usr/lib/x86_64-linux-gnu/libyaml-0.so.2:
ubuntu@host:~$ find $MY_RUBY_HOME -name psych.so | xargs ldd
linux-vdso.so.1 => (0x00007fff22fff000)
libruby.so.2.0 => /home/ubuntu/.rvm/rubies/ruby-2.0.0-p353/lib/libruby.so.2.0 (0x00007fc91a537000)
libyaml-0.so.2 => /usr/lib/x86_64-linux-gnu/libyaml-0.so.2 (0x00007fc91a30e000)
libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007fc919f4d000)
libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 (0x00007fc919d30000)
librt.so.1 => /lib/x86_64-linux-gnu/librt.so.1 (0x00007fc919b28000)
libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0x00007fc919923000)
libcrypt.so.1 => /lib/x86_64-linux-gnu/libcrypt.so.1 (0x00007fc9196ea000)
libm.so.6 => /lib/x86_64-linux-gnu/libm.so.6 (0x00007fc9193ee000)
/lib64/ld-linux-x86-64.so.2 (0x00007fc91abbf000)
/usr/lib/x86_64-linux-gnu/libyaml-0.so.2由libyaml-0-2包安装,如下所示:
ubuntu@host:~$ dpkg -S /usr/lib/x86_64-linux-gnu/libyaml-0.so.2
libyaml-0-2: /usr/lib/x86_64-linux-gnu/libyaml-0.so.2
如果我理解正确,那就意味着Ruby会动态地将libyaml链接到APT安装的libyaml。
Ubuntu发布了a patch修复了漏洞,并且已经安装了补丁。 libyaml的版本仍为0.1.4。
基于此,漏洞似乎已经在我的服务器上得到修复。我对吗?有没有办法测试漏洞是否已修复?
答案 0 :(得分:0)
我认为ldd仅检查动态链接库。如果它是静态链接的,则不会列出。这意味着漏洞已得到修复。
如果您自己编译了nginx,则可能静态链接了openssl库。 ldd测试将显示对操作系统libssl.so库没有依赖性。
http://nginx.com/blog/nginx-and-the-heartbleed-vulnerability/