glibcに深刻な脆弱性、パッチ適用の検討を

後藤大地  [2016/02/17]

The Linux Home Page at Linux Online

Googleは2月16日(米国時間)、「Google Online Security Blog: CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow」において、Linuxディストリビューションなどで広く採用されている基本ライブラリGNU C Library (glibc)に脆弱性が存在すると伝えた。この脆弱性を悪用されると、遠隔から任意のコードが実行される可能性があり注意が必要。

この脆弱性は、Googleのエンジニアが特定のホストにSSHクライアントで接続を試みた場合に必ずセグメンテーション違反が発生することで見つかったとしている。この現象に遭遇したエンジニアは詳しく調査を実施し、問題がSSHではなくglibcにおけるバグであることを発見したとのことだ。

このバグはglibcのgetaddrinfo()関数を使用した場合に発生する可能性があり、細工された特定のDNSクエリと特定の条件が重なると発生するとされている。ASLRなどカーネルが提供しているセキュリティ機能を回避する必要はあるが、遠隔から任意のコードが実行される危険性があるため注意が必要。getaddrinfo()はさまざまなソフトウェアで利用される基本的な機能であるため、この脆弱性が影響を与える範囲は広範囲に及ぶと見られている。

glibcのgetaddrinfo()経由で処理される実装にこのバグが存在していることは7カ月ほど前に認識されていたが、今回のように深刻な脆弱性を抱えているとは認識されていなかった。

JPCERT/CCの2月17日の発表によると、この件に関連して、以下のディストリビュータから影響を受ける製品とバージョンの情報が公開されているという。

RedHat

  • Red Hat Enterprise Linux Server EUS (v. 6.6)
  • Red Hat Enterprise Linux Server AUS (v. 6.5)
  • Red Hat Enterprise Linux Server AUS (v. 6.4)
  • Red Hat Enterprise Linux Server AUS (v. 6.2)
  • Red Hat Enterprise Linux Server EUS (v. 7.1)
  • Red Hat Enterprise Linux version 6
  • Red Hat Enterprise Linux version 7

Debian

  • squeeze
  • wheezy
  • jessie

Ubuntu

  • Ubuntu 15.10
  • Ubuntu 14.04 LTS

glibc project より脆弱性に対する対策パッチ「[PATCH] CVE-2015-7547 --- glibc getaddrinfo() stack-based buffer overflow」が公開されているので、JPCERT/CCは十分なテストを実施した上で、適用を検討するよう勧めている。

別のセキュリティ脆弱性となるが、GNU C Library (glibc)に遠隔から任意のコードが実行できる脆弱性が存在することは1年ほど前にも発見されている。当時発見された脆弱性はgethostbyname()などの関数を呼び出すことで引き起こすことが可能であることからgethostbynameをGetHOSTbynameともじって「GHOST」と呼ばれている。GHOSTも今回発見されたセキュリティ脆弱性も影響範囲が広いため注意が必要。

<お知らせ>
ITソリューション検討Information

マイナビニュースのIT Search+では、ITソリューションの検討に役立つ情報を掲載しています。
ここでは、IT Search+の人気記事ベスト3をご紹介。ぜひ、ビジネスにお役立てください。



IT製品 "比較/検討" 情報

転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

特別企画 PR

人気記事

一覧

イチオシ記事

新着記事

カレー沢薫さんの"3D"ロゼットを抽選で1名にプレゼント!
[12:00 5/30] テクノロジー
【連載】3Dペンでカレー沢薫さんを「立体化」してみた 第3回 カレー沢薫さん、光る
[12:00 5/30] テクノロジー
尾木ママ、舛添知事への怒り爆発「税金、公金にたかる寄生虫」
[11:55 5/30] エンタメ
Viibar、Yahoo! JAPANのデータ分析結果をもとにした動画広告商品
[11:40 5/30] 企業IT
【レポート】人工知能、VR、Chrome OS、開発者会議で示したGoogleの方向性
[11:33 5/30] 経営・ビジネス

特別企画 PR

求人情報