![at+link[エーティーリンク]](/common/images/header_logo.png){kind=logo}
・ RHEL 4 ELS の修正パッケージが公開されました。(2015/1/29)
・ 「◎インパクト」の記載内容を一部変更しました。(2015/1/29)
いつもご利用いただき、誠にありがとうございます。
glibc の重大な脆弱性が公開されました。この脆弱性は CVE-2015-0235 が割り当てられています。
■概要
「GHOST」 は glibc ライブラリーのgethostbyname() と gethostbyname2() 関数呼び出しに影響を及ぼすバッファーオーバーフローの不具合です。
リモートの攻撃者がこの脆弱性を用いると、これらの関数を呼び出すアプリケーションに対して、そのアプリケーションの権限で任意のコードを実行させる事ができます。
詳細は下記URLをご参照ください。
・ GHOST: glibc vulnerability (CVE-2015-0235) (Red Hat Customer Portal)
・ CVE-2015-0235 (Red Hat Customer Portal)
・ The GHOST vulnerability (Qualys Blog)
・ Qualys Security Advisory CVE-2015-0235
◎ glibc とは
glibc(GNU C Library)は、GNUプロジェクトにおけるCの標準ライブラリです。
glibc はあらゆるコマンドの他、Linux カーネルからも呼び出されており、Linuxが動作する上で無くてはならないものとなります。
◎ インパクト
gethostbyname()関数の呼び出しは、一般的なイベントである DNS 名前解決等に利用されています。
この脆弱性を悪用する為には、攻撃者が、DNSを実行するアプリケーションにて無効なホスト名の引数を使用する事でバッファオーバフローを誘発する必要があります。
この脆弱性は、ソフトウェアが glibc を使用している場合に影響を受ける可能性がありますが、実際に影響を受けるかどうかは該当するソフトウェアにおける glibc の使用方法に依存します。
この脆弱性が対象とする関数「gethostbyname*()」は IPv6アドレスの登場により利用が減っており、新しいアプリケーションでは IPv6 をサポートする「getaddrinfo()」を利用するケースが増えている模様です。
また、多くの主要アプリケーションでは、GHOSTによる悪用の影響は確認されていない模様です。詳細は下記のサイトをご参照ください。
・ Linuxに存在する脆弱性「GHOST」、システム管理者は落ち着いて対処を(トレンドマイクロ セキュリティブログ)
・ Re: Qualys Security Advisory CVE-2015-0235 - GHOST: glibc gethostbyname buffer overflow (SECLISTS.ORG)
・ glibc の脆弱性対策について(CVE-2015-0235)(情報処理推進機構)
■影響範囲
この脆弱性は、glibc-2.2(2000年11月10日にリリース)を使用して、ビルドされたすべてのLinuxシステムに存在します。
※このバグは glibcバージョン glibc-2.17 と glibc-2.18 の間で修正されていますが、セキュリティfixではなかったため、現在も多くのLinuxシステムではこの問題が修正されていません。
当サービスで提供のサーバでは、Red Hat Enterprise Linux および CentOS を含む redhat 系 OS に同梱された全てのバージョンの glibc が対象となります。
■対策
● RHEL 5 / 6 および CentOS 5 / 6 の場合
RHEL 5 / 6 と CentOS 5 / 6 では、ベンダーより修正パッケージが提供されています。修正パッケージへのアップデートを強く推奨します。
※アップデート後、システムの再起動が必要です。
◇修正後のバージョンは下記となります。
・ RHEL 5 :glibc-2.5-123.el5_11.1
Critical: glibc security update (Red Hat Customer Portal)
・ RHEL 6 :glibc-2.12-1.149.el6_6.5
Critical: glibc security update (Red Hat Customer Portal)
・ CentOS 5:glibc-2.5-123.el5_11.1
[CentOS-announce] CESA-2015:0090 Critical CentOS 5 glibc Security Update
・ CentOS 6:glibc-2.12-1.149.el6_6.5
[CentOS-announce] CESA-2015:0092 Critical CentOS 6 glibc Security Update
RHEL や CentOS では、rpm にて glibc がインストールされています。
現在のパッケージバージョンは下記で確認が可能です。
$ rpm -q glibc
サーバにて OS 標準の glibc を利用している場合、上記バージョンより古いものはアップデート対象となります。
アップデートは下記コマンドで実施可能です。
# yum update glibc
glibc だけでなく、すべてのパッケージにてアップデートを行う場合は次のように実施します。
※ この場合、多数のパッケージがアップデートされますので、ご注意ください。
# yum update
アップデート後、システムの再起動を実施してください。
● RHEL 4 以前のOS(所謂 Linux 系のレガシー OS )
RHEL 4 以前の OS(所謂 Linux 系のレガシー OS )では、修正は提供されません。
RHEL4 ELS(延長サポート契約あり)に関しては、ベンダーより修正パッケージが提供されています。修正パッケージへのアップデートを強く推奨します。
※ アップデート後、システムの再起動が必要です。
◇修正後のバージョンは下記となります。
RHEL4 ELS : glibc-2.3.4-2.57.el4.2
Critical: glibc security update (Red Hat Customer Portal)
アップデートは下記コマンドで実施可能です。
# up2date glibc
RHEL 5 / 6、CentOS 5 / 6 および RHEL4 ELS に関しましては、当サービスで有償にて作業を承ることも可能ですので、有償作業をご希望の場合はその旨お申し付けください。お見積りさせていただきます。
![at+link[エーティーリンク]](/common/images/footer_logo.gif){kind=logo}
