検索
ニュース

glibcの脆弱性「GHOST」、影響範囲を見極め冷静な対処を安定版Linuxディストリビューションの一部に影響、アップデートの適用を

2015年1月28日、Linuxで広く利用されているGNU Cライブラリ(glibc)に、バッファオーバーフローの脆弱性が存在することが明らかになった。Red Hat Enterprise Linux 6&7といった安定版のLinuxディストリビューションに影響があるため、注意が必要だ。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 2015年1月28日、Linuxで広く利用されているGNU Cライブラリ(glibc)に、バッファオーバーフローの脆弱性(CVE-2015-0235)が存在することが明らかになった。脆弱性自体は2013年5月21日に修正されているが、「セキュリティ上の問題」として認識されなかったことから、Debian 7やRed Hat Enterprise Linux 6&7、CentOS6&7、Ubuntu 12.04といった安定版のLinuxディストリビューションに影響が及んでいるため、注意が必要だ。

 JVNが公開した情報によると、脆弱性が存在するのはglibc 2.2〜2.17。gethostbyname()などの関数から呼び出される「__nss_hostname_digits_dots()」関数にバッファオーバーフローの脆弱性があり、細工を施したホスト名を受け取るとDoS状態に陥ったり、最悪の場合、リモートからのコード実行が可能になる恐れがある。問題を指摘した米クオリス(Qualys)は、この脆弱性を「GHOST」と命名した。

 脆弱性は2013年8月にリリースされたglibc 2.18で修正済みだ(現時点での最新バージョンは2.20)が、現在利用されているLinuxディストリビューションの中には、それ以前のglibcを用いているものがあるため、環境の確認が必要だ。RedHatやCentOS、Debian、Ubuntuといった各LinuxディストリビューションやAmazon Linuxを提供するAmazon Web Services(AWS)などでは順次、脆弱性を修正したパッケージの提供を開始している。

 なお、Linux以外のプラットフォームやアプリケーションでも、glibc 2.17以前を利用している場合は脆弱性の影響を受ける。一例として、「Brocade Vyatta 5400 vRouter 6.7R5以前のバージョン」では影響が確認されたという。一方、米クオリスのセキュリティアドバイザリチームは、以下のアプリケーションについてはバッファオーバーフローが発生しないことを確認したと報告している。

apache, cups, dovecot, gnupg, isc-dhcp, lighttpd, mariadb/mysql,nfs-utils, nginx, nodejs, openldap, openssh, postfix, proftpd,pure-ftpd, rsyslog, samba, sendmail, sysklogd, syslog-ng, tcp_wrappers,vsftpd, xinetd

 このように影響範囲の調査がやっかいな脆弱性ではあるが、トレンドマイクロはブログの中で「この脆弱性は深刻であるものの、攻撃に利用するのが難しく、攻撃の可能性は極めて低い」と指摘。過小評価すべき問題ではないが、今のところ、Web攻撃に利用される可能性のある感染媒体も確認されていないことから、管理者に対し、冷静に対処するよう呼び掛けている。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  2. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  3. 「DX推進」がサイバー攻撃を増加させている? Akamaiがセキュリティレポートを公開
  4. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  5. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  6. 6年間でAndroidにおけるメモリ安全性の脆弱性を76%から24%まで低減 Googleが語る「Safe Coding」のアプローチと教訓とは
  7. CISOが失敗を許容する組織を構築するために注目すべきは生成AIと何か? ガートナーが提言
  8. ゼロトラストの理想と現実を立命館大学 上原教授が語る――本当に運用できるか? 最後は“人”を信用できるかどうか
  9. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  10. 「ゼロトラスト」提唱者、ジョン・キンダーバーグ氏が語る誤解と本質――「ゼロトラストの第一歩は『何を守るべきか』を明確にすること」
ページトップに戻る