glibcの脆弱性「GHOST」、影響範囲を見極め冷静な対処を：安定版Linuxディストリビューションの一部に影響、アップデートの適用を

2015年1月28日、Linuxで広く利用されているGNU Cライブラリ（glibc）に、バッファオーバーフローの脆弱性が存在することが明らかになった。Red Hat Enterprise Linux 6＆7といった安定版のLinuxディストリビューションに影響があるため、注意が必要だ。

[高橋睦美，＠IT]

　2015年1月28日、Linuxで広く利用されているGNU Cライブラリ（glibc）に、バッファオーバーフローの脆弱性（CVE-2015-0235）が存在することが明らかになった。脆弱性自体は2013年5月21日に修正されているが、「セキュリティ上の問題」として認識されなかったことから、Debian 7やRed Hat Enterprise Linux 6＆7、CentOS6＆7、Ubuntu 12.04といった安定版のLinuxディストリビューションに影響が及んでいるため、注意が必要だ。

　JVNが公開した情報によると、脆弱性が存在するのはglibc 2.2〜2.17。gethostbyname()などの関数から呼び出される「__nss_hostname_digits_dots()」関数にバッファオーバーフローの脆弱性があり、細工を施したホスト名を受け取るとDoS状態に陥ったり、最悪の場合、リモートからのコード実行が可能になる恐れがある。問題を指摘した米クオリス（Qualys）は、この脆弱性を「GHOST」と命名した。

　脆弱性は2013年8月にリリースされたglibc 2.18で修正済みだ（現時点での最新バージョンは2.20）が、現在利用されているLinuxディストリビューションの中には、それ以前のglibcを用いているものがあるため、環境の確認が必要だ。RedHatやCentOS、Debian、Ubuntuといった各LinuxディストリビューションやAmazon Linuxを提供するAmazon Web Services（AWS）などでは順次、脆弱性を修正したパッケージの提供を開始している。

　なお、Linux以外のプラットフォームやアプリケーションでも、glibc 2.17以前を利用している場合は脆弱性の影響を受ける。一例として、「Brocade Vyatta 5400 vRouter 6.7R5以前のバージョン」では影響が確認されたという。一方、米クオリスのセキュリティアドバイザリチームは、以下のアプリケーションについてはバッファオーバーフローが発生しないことを確認したと報告している。

apache, cups, dovecot, gnupg, isc-dhcp, lighttpd, mariadb/mysql,nfs-utils, nginx, nodejs, openldap, openssh, postfix, proftpd,pure-ftpd, rsyslog, samba, sendmail, sysklogd, syslog-ng, tcp_wrappers,vsftpd, xinetd

　このように影響範囲の調査がやっかいな脆弱性ではあるが、トレンドマイクロはブログの中で「この脆弱性は深刻であるものの、攻撃に利用するのが難しく、攻撃の可能性は極めて低い」と指摘。過小評価すべき問題ではないが、今のところ、Web攻撃に利用される可能性のある感染媒体も確認されていないことから、管理者に対し、冷静に対処するよう呼び掛けている。