glibcの脆弱性 (CVE-2015-0235) の影響と対処
■ glibc (GHOST) の脆弱性 (CVE-2015-0235)
[本ドキュメントの対象となる製品]
Asianux Server 4 for x86 (32bit)
Asianux Server 4 for x86_64 (64bit)
[概要]
glibc に重大な脆弱性が発見されました。該当するバージョンを使用されている場合、攻撃者によりアプリケーションの権限で任意の OS コマンドを実行される可能性があります。下記 [影響の有無の確認方法] を行い、影響のあるglibc を使用している場合は、ただちに本ドキュメントの [解決方法] を行ってください。
[詳細]
glibc のバッファオーバーフローの脆弱性 (CVE-2015-0235) に関する問題となります。数字とドットで構成された長大な文字列をホスト名として gethostbyname(3) などへ渡すことでバッファオーバーフローを引き起こし,ユーザが実行するアプリケーションの権限で任意のコードを実行する可能性があります。
[影響の有無の確認方法]
下記手順にて、glibc パッケージのバージョンを確認し、【対応表】にて影響の有無を確認してください。
1.OSのバージョンを確認してください。
# cat /etc/asianux-release
Asianux Server 4 (Hiranya SP4)
2. rpm コマンドで glibc パッケージのバージョンを確認してください。
# rpm -q glibc
glibc-2.12-1.149.AXS4.4.x86_64
【対応表】
OS製品
|
製品名 |
glibc のバージョン |
本脆弱性の影響 |
|
Asianux Server 4 |
glibc-2.12-1.149.AXS4.5 未満のすべてのバージョン |
あり |
MIRACLE ZBXおよび関連アプライアンス製品
|
製品名 |
本脆弱性の影響 |
|
MIRACLE ZBX および関連アプライアンス製品 |
MIRACLE ZBX への直接的な影響はありません。 関連アプライアンス製品については、OSへの影響がありますのでOS製品への対処を行ってください。アプライアンス製品の動作環境OSはこちらの表で確認してください。 |
以下のサイトで確認プログラムが公開されておりますので、プログラムを用いて確認することもできます。
脆弱性のある場合は “vulnerable”、脆弱性のない場合は ”not vulnerable” と表示されます。
http://www.openwall.com/lists/oss-security/2015/01/27/9
$ gcc GHOST.c -o GHOST
$ ./GHOST
vulnerable
[解決方法]
本脆弱性に対する回避策はありません。glibc のパッケージをアップデートしてください。
1. パッケージのダウンロード
以下の URL からダウンロードすることができます。
Asianux Server 4
glibc-2.12-1.149.AXS4.5
https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=4270&sType=&sProduct=&published=1
2. パッケージのアップデート
パッケージのテスト(依存関係のチェック)を行います。
# rpm -Uhv glibc-2.12-1.149.AXS4.5.i686.rpm glibc-2.12-1.149.AXS4.5.x86_64.rpm glibc-common-2.12-1.149.AXS4.5.x86_64.rpm glibc-devel-2.12-1.149.AXS4.5.i686.rpm glibc-devel-2.12-1.149.AXS4.5.x86_64.rpm glibc-headers-2.12-1.149.AXS4.5.x86_64.rpm glibc-utils-2.12-1.149.AXS4.5.x86_64.rpm nscd-2.12-1.149.AXS4.5.x86_64.rpm --test
パッケージのテストで問題がないようであれば、アップデートを行います。
# rpm -Uhv glibc-2.12-1.149.AXS4.5.i686.rpm glibc-2.12-1.149.AXS4.5.x86_64.rpm glibc-common-2.12-1.149.AXS4.5.x86_64.rpm glibc-devel-2.12-1.149.AXS4.5.i686.rpm glibc-devel-2.12-1.149.AXS4.5.x86_64.rpm glibc-headers-2.12-1.149.AXS4.5.x86_64.rpm glibc-utils-2.12-1.149.AXS4.5.x86_64.rpm nscd-2.12-1.149.AXS4.5.x86_64.rpm
なお、アップデート後にシステムの再起動を行います。
[参考 URL]
glibc ライブラリにバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU99234709/index.html
Qualys Security Advisory CVE-2015-0235
http://www.openwall.com/lists/oss-security/2015/01/27/9
[注意事項]
本ドキュメントは、各ソフトウェア開発元の情報およびマニュアル等を元にした参考情報です。
本ドキュメントの内容は、予告なしに変更される場合があります。
本ドキュメントは、限られた評価環境における検証結果をもとに作成しており、全ての環境での動作を保証するものではありません。
本ドキュメントの内容に基づき、導入、設定、運用を行なったことにより損害が生じた場合でも、弊社はその損害についての責任を負いません。あくまでお客様のご判断にてご使用ください。
[更新履歴]
2015年1月 29日 新規作成