検索
ニュース

glibcの脆弱性「GHOST」、影響範囲を見極め冷静な対処を安定版Linuxディストリビューションの一部に影響、アップデートの適用を

2015年1月28日、Linuxで広く利用されているGNU Cライブラリ(glibc)に、バッファオーバーフローの脆弱性が存在することが明らかになった。Red Hat Enterprise Linux 6&7といった安定版のLinuxディストリビューションに影響があるため、注意が必要だ。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 2015年1月28日、Linuxで広く利用されているGNU Cライブラリ(glibc)に、バッファオーバーフローの脆弱性(CVE-2015-0235)が存在することが明らかになった。脆弱性自体は2013年5月21日に修正されているが、「セキュリティ上の問題」として認識されなかったことから、Debian 7やRed Hat Enterprise Linux 6&7、CentOS6&7、Ubuntu 12.04といった安定版のLinuxディストリビューションに影響が及んでいるため、注意が必要だ。

 JVNが公開した情報によると、脆弱性が存在するのはglibc 2.2〜2.17。gethostbyname()などの関数から呼び出される「__nss_hostname_digits_dots()」関数にバッファオーバーフローの脆弱性があり、細工を施したホスト名を受け取るとDoS状態に陥ったり、最悪の場合、リモートからのコード実行が可能になる恐れがある。問題を指摘した米クオリス(Qualys)は、この脆弱性を「GHOST」と命名した。

 脆弱性は2013年8月にリリースされたglibc 2.18で修正済みだ(現時点での最新バージョンは2.20)が、現在利用されているLinuxディストリビューションの中には、それ以前のglibcを用いているものがあるため、環境の確認が必要だ。RedHatやCentOS、Debian、Ubuntuといった各LinuxディストリビューションやAmazon Linuxを提供するAmazon Web Services(AWS)などでは順次、脆弱性を修正したパッケージの提供を開始している。

 なお、Linux以外のプラットフォームやアプリケーションでも、glibc 2.17以前を利用している場合は脆弱性の影響を受ける。一例として、「Brocade Vyatta 5400 vRouter 6.7R5以前のバージョン」では影響が確認されたという。一方、米クオリスのセキュリティアドバイザリチームは、以下のアプリケーションについてはバッファオーバーフローが発生しないことを確認したと報告している。

apache, cups, dovecot, gnupg, isc-dhcp, lighttpd, mariadb/mysql,nfs-utils, nginx, nodejs, openldap, openssh, postfix, proftpd,pure-ftpd, rsyslog, samba, sendmail, sysklogd, syslog-ng, tcp_wrappers,vsftpd, xinetd

 このように影響範囲の調査がやっかいな脆弱性ではあるが、トレンドマイクロはブログの中で「この脆弱性は深刻であるものの、攻撃に利用するのが難しく、攻撃の可能性は極めて低い」と指摘。過小評価すべき問題ではないが、今のところ、Web攻撃に利用される可能性のある感染媒体も確認されていないことから、管理者に対し、冷静に対処するよう呼び掛けている。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  2. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  3. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  4. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  5. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  6. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  7. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  8. ゼロトラストの理想と現実を立命館大学 上原教授が語る――本当に運用できるか? 最後は“人”を信用できるかどうか
  9. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  10. 「SQLite」のゼロデイ脆弱性、GoogleのAIエージェントが見つける AIは脆弱性調査の課題をどう解決したのか?
ページトップに戻る