• at+linkからのお知らせ一覧
  • プレスリリース一覧

at+linkからのお知らせ

2015.01.28

【重要】「GHOST:glibc(CVE-2015-0235)」の脆弱性について (2015/1/29 更新)

RHEL 4 ELS の修正パッケージが公開されました。(2015/1/29)
「◎インパクト」の記載内容を一部変更しました。(2015/1/29)

いつもご利用いただき、誠にありがとうございます。

glibc の重大な脆弱性が公開されました。この脆弱性は CVE-2015-0235 が割り当てられています。

■概要

「GHOST」 は glibc ライブラリーのgethostbyname() と gethostbyname2() 関数呼び出しに影響を及ぼすバッファーオーバーフローの不具合です。
リモートの攻撃者がこの脆弱性を用いると、これらの関数を呼び出すアプリケーションに対して、そのアプリケーションの権限で任意のコードを実行させる事ができます。

詳細は下記URLをご参照ください。

GHOST: glibc vulnerability (CVE-2015-0235) (Red Hat Customer Portal)
CVE-2015-0235 (Red Hat Customer Portal)
The GHOST vulnerability (Qualys Blog)
Qualys Security Advisory CVE-2015-0235

◎ glibc とは

glibc(GNU C Library)は、GNUプロジェクトにおけるCの標準ライブラリです。
glibc はあらゆるコマンドの他、Linux カーネルからも呼び出されており、Linuxが動作する上で無くてはならないものとなります。

◎ インパクト

gethostbyname()関数の呼び出しは、一般的なイベントである DNS 名前解決等に利用されています。
この脆弱性を悪用する為には、攻撃者が、DNSを実行するアプリケーションにて無効なホスト名の引数を使用する事でバッファオーバフローを誘発する必要があります。

この脆弱性は、ソフトウェアが glibc を使用している場合に影響を受ける可能性がありますが、実際に影響を受けるかどうかは該当するソフトウェアにおける glibc の使用方法に依存します。
この脆弱性が対象とする関数「gethostbyname*()」は IPv6アドレスの登場により利用が減っており、新しいアプリケーションでは IPv6 をサポートする「getaddrinfo()」を利用するケースが増えている模様です。
また、多くの主要アプリケーションでは、GHOSTによる悪用の影響は確認されていない模様です。詳細は下記のサイトをご参照ください。

Linuxに存在する脆弱性「GHOST」、システム管理者は落ち着いて対処を(トレンドマイクロ セキュリティブログ)
Re: Qualys Security Advisory CVE-2015-0235 - GHOST: glibc gethostbyname buffer overflow (SECLISTS.ORG)
glibc の脆弱性対策について(CVE-2015-0235)(情報処理推進機構)

■影響範囲

この脆弱性は、glibc-2.2(2000年11月10日にリリース)を使用して、ビルドされたすべてのLinuxシステムに存在します。

※このバグは glibcバージョン glibc-2.17 と glibc-2.18 の間で修正されていますが、セキュリティfixではなかったため、現在も多くのLinuxシステムではこの問題が修正されていません。
当サービスで提供のサーバでは、Red Hat Enterprise Linux および CentOS を含む redhat 系 OS に同梱された全てのバージョンの glibc が対象となります。

■対策

● RHEL 5 / 6 および CentOS 5 / 6 の場合

RHEL 5 / 6 と CentOS 5 / 6 では、ベンダーより修正パッケージが提供されています。修正パッケージへのアップデートを強く推奨します。
※アップデート後、システムの再起動が必要です。

◇修正後のバージョンは下記となります。

・ RHEL 5 :glibc-2.5-123.el5_11.1
Critical: glibc security update (Red Hat Customer Portal)
・ RHEL 6 :glibc-2.12-1.149.el6_6.5
Critical: glibc security update (Red Hat Customer Portal)
・ CentOS 5:glibc-2.5-123.el5_11.1
[CentOS-announce] CESA-2015:0090 Critical CentOS 5 glibc Security Update
・ CentOS 6:glibc-2.12-1.149.el6_6.5
[CentOS-announce] CESA-2015:0092 Critical CentOS 6 glibc Security Update

RHEL や CentOS では、rpm にて glibc がインストールされています。
現在のパッケージバージョンは下記で確認が可能です。

$ rpm -q glibc

サーバにて OS 標準の glibc を利用している場合、上記バージョンより古いものはアップデート対象となります。
アップデートは下記コマンドで実施可能です。

# yum update glibc

glibc だけでなく、すべてのパッケージにてアップデートを行う場合は次のように実施します。
※ この場合、多数のパッケージがアップデートされますので、ご注意ください。

# yum update

アップデート後、システムの再起動を実施してください。

● RHEL 4 以前のOS(所謂 Linux 系のレガシー OS )

RHEL 4 以前の OS(所謂 Linux 系のレガシー OS )では、修正は提供されません。

RHEL4 ELS(延長サポート契約あり)に関しては、ベンダーより修正パッケージが提供されています。修正パッケージへのアップデートを強く推奨します。
※ アップデート後、システムの再起動が必要です。

◇修正後のバージョンは下記となります。
RHEL4 ELS : glibc-2.3.4-2.57.el4.2
Critical: glibc security update (Red Hat Customer Portal)

アップデートは下記コマンドで実施可能です。

# up2date glibc

RHEL 5 / 6、CentOS 5 / 6 および RHEL4 ELS に関しましては、当サービスで有償にて作業を承ることも可能ですので、有償作業をご希望の場合はその旨お申し付けください。お見積りさせていただきます。

戻る
  • このエントリーをはてなブックマークに追加
ページトップへ