glibc の脆弱性(CVE-2015-7547)の影響と対処
[本ドキュメントの対象となる製品]
- Asianux Server 4 == MIRACLE LINUX V6 for x86 (32bit)
- Asianux Server 4 == MIRACLE LINUX V6 for x86_64 (64bit)
- Asianux Server 7 == MIRACLE LINUX V7 for x86_64 (64bit)
[概要]
glibc に重大な脆弱性が発見されました。該当するバージョンを使用されている場合、攻撃者によりリモートで任意のコードが実行されたり、サービス運用妨害 (DoS) 攻撃を受けたりする可能性があります。
[詳細]
glibc のバッファオーバーフローの脆弱性 (CVE-2015-7547) に関する問題となります。libresolv ライブラリが A/AAAA DNS クエリを同時に実行する処理に不具合があるため、リモートの攻撃者が巧妙に細工された DNS レスポンスを介してスタックベースのバッファーオーバーフローを発生させ、libresolv (*) をクラッシュさせる、あるいは、任意のコードを実行する可能性があります。
*: 名前解決関数 getaddrinfo() は DNS を含む名前解決に libresolv を利用するため、影響を受けます。
[影響の有無の確認方法]
下記手順にて、glibc パッケージのバージョンを確認してください。
1. OS のバージョンを確認してください
(表示は一例です)
# cat /etc/asianux-release
Asianux Server 4 (Hiranya SP5)
2. rpm コマンドで glibc パッケージのバージョンを確認してください
(表示は一例です)
# rpm -q glibc
glibc-2.12-1.166.AXS4.7.x86_64
【対応表】
| 製品名 | glibc のバージョン | 本脆弱性への影響 |
|---|---|---|
| Asianux Server 4 | glibc-2.12-1.166.AXS4.7 未満のバージョン | あり |
| Asianux Server 7 | glibc-2.17-106.el7.4 未満のバージョン | あり |
[解決方法]
本脆弱性に対する回避策はありません。glibc パッケージをアップデートしてください。
1. インストール済みパッケージを確認する
システムにインストールされている glibc パッケージをご確認ください。
# rpm -qa --qf '%{name}-%{version}-%{release}.%{arch}.rpm\n' | grep glibc
# rpm -qa --qf '%{name}-%{version}-%{release}.%{arch}.rpm\n' | grep nscd
2. パッケージをダウンロードする
以下の URL から修正済みパッケージをダウンロードしてください。
Asianux Server 4
glibc-2.12-1.166.AXS4.7
https://tsn.miraclelinux.com/ja/node/6462
Asianux Server 7
glibc-2.17-106.el7.4
https://tsn.miraclelinux.com/ja/node/6467
3. パッケージをアップデートする
パッケージのテスト(依存関係のチェック)を行います。
(例)
# rpm -Fhv glibc-2.12-1.166.AXS4.7.x86_64.rpm \
glibc-common-2.12-1.166.AXS4.7.x86_64.rpm \
glibc-devel-2.12-1.166.AXS4.7.x86_64.rpm \
glibc-headers-2.12-1.166.AXS4.7.x86_64.rpm --test
パッケージのテストで問題ないようであれば、アップデートを行います。
(例)
# rpm -Fhv glibc-2.12-1.166.AXS4.7.x86_64.rpm \
glibc-common-2.12-1.166.AXS4.7.x86_64.rpm \
glibc-devel-2.12-1.166.AXS4.7.x86_64.rpm \
glibc-headers-2.12-1.166.AXS4.7.x86_64.rpm
なお、アップデート完了後はシステムの再起動を行ってください。
[影響を低減する要素]
DNS による名前解決を行わない環境では本脆弱性の影響を受けません。
また、以下の暫定的な対策を実施することにより、本脆弱性の影響を低減することができます。
- EDNS0 を無効にする (デフォルトでは無効になっています)
- iptables などのファイヤーウォールを利用し、DNS による名前解決を途中経路を含め信頼できるサーバーを利用するように制限する
[参考URL]
glibc にバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU97236594/
[PATCH] CVE-2015-7547 --- glibc getaddrinfo() stack-based buffer overflow
https://sourceware.org/ml/libc-alpha/2016-02/msg00416.html
CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow
https://googleonlinesecurity.blogspot.jp/2016/02/cve-2015-7547-glibc-getaddrinfo-stack.html
[注意事項]
本ドキュメントは、各ソフトウェア開発元の情報およびマニュアル等を元にした参考情報です。
本ドキュメントの内容は、予告なしに変更される場合があります。
本ドキュメントは、限られた評価環境における検証結果をもとに作成しており、全ての環境での動作を保証するものではありません。
本ドキュメントの内容に基づき、導入、設定、運用を行なったことにより損害が生じた場合でも、弊社はその損害についての責任を負いません。あくまでお客様のご判断にてご使用ください。
[更新履歴]
2016年2月18日 新規作成
2016年2月25日 影響を低減する要素を追記