glibcの脆弱性 CVE-2015-0235 GHOST まとめ

公開日: : 最新技術

今朝起きたらRedHat社から、CVE-2015-0235 GHOSTの脆弱性が判明したからすぐに対策するようにとメールが来ました。
収集した情報を以下のとおりまとめます。

スポンサーリンク

脆弱性情報

CVE-2015-0235 GHOST

「GHOST」 は glibc ライブラリーの gethostbyname() と gethostbyname2() 関数呼び出しに影響を及ぼすバッファーオーバーフローの不具合です。リモートの攻撃者がこの脆弱性を用いると、これらの関数を呼び出すアプリケーションに対して、そのアプリケーションの権限で任意のコードを実行させる事ができます。
出展:https://access.redhat.com/articles/1332213

影響範囲

  • glibc-2.17 の場合は、glibc-2.17-54以前のバージョン
  • glibc-2.5 の場合は、glibc-2.5-122以前のバージョン
  • glibc-2.12 の場合は、glibc-2.12-1.148以前のバージョン

考えられる影響
gethostbyname() 関数呼び出しは、非常に一般的なイベントである DNS 解決に使用されます。この脆弱性を攻撃するには、DNS 解決を実行するアプリケーションに無効なホスト名の引数を提供して、バッファーのオーバーフローを発生させる必要があります。
出展:https://access.redhat.com/articles/1332213

対策

以下のバージョンにアップデート、およびシステムの再起動。

  • glibc-2.5-123
  • glibc-common-2.5-123
  • glibc-debuginfo-2.5-123
  • glibc-debuginfo-common-2.5-123
  • glibc-devel-2.5-123
  • glibc-headers-2.5-123
  • glibc-utils-2.5-123
  • nscd-2.5-123

パッチは各ディスビューション別に以下サイトからダウンロード。

Debianの対策ページ

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=776391

RedHatの対策ページ

https://access.redhat.com/articles/1332213

ubuntuの対策ページ

http://www.ubuntu.com/usn/usn-2485-1/

参考

Bugzilla情報

https://bugzilla.redhat.com/show_bug.cgi?id=1183461

RedHat社からの情報

GHOST: glibc vulnerability (CVE-2015-0235)
https://access.redhat.com/articles/1332213
CVE-2015-0235
https://access.redhat.com/security/cve/CVE-2015-0235

QUALYS BLOG

https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability

Openwall

http://www.openwall.com/lists/oss-security/2015/01/27/9

AD

この記事が興味深かった場合は、SNSボタンでシェアいただけると嬉しいです。

関連記事

windows-logo

マイクロソフトがカタカナ用語末尾の長音表記を変更!?

「マイコンピュータ」が「マイコンピューター」に? マイクロソフトが表記ルールを変更 http:/

記事を読む

OpenSSLの脆弱性CVE-2015-0204,0205,0206,CVE-2014-3569,3570,3571,3572,8275まとめ

OpenSSLに8個の脆弱性が見つかりましたね。 CVE-2015-0204,CVE-2015-0

記事を読む

windows-logo

ママ、どうしておうちにサーバーがあるの? Windows Home Server

WindowsHomeServerの販促用の絵本(パンフレット)にこんな物がある。 ママ、どうして

記事を読む

Intel Core i9 が登場ですって。

Intel がCore2シリーズを撤廃して、「Core i3」「Core i5」「Core i7」「

記事を読む

マイクロソフトが現実世界に3Dホログラム映像を重ねる Microsoft HoloLens を発表

ゲームやアニメでよくある拡張現実が、ついに実現されそうです。 使用イメージ

記事を読む

Message

メールアドレスが公開されることはありません。

AD

Brocade SAN Switchのroot,factory,userユーザ無効化方法

Brocade SAN SwichのFablicOSには以下のデフォル

Brocade SAN Switchのデフォルトrootパスワード

Brocade SAN スイッチの rootパスワードを変更するために

Xperia Z3 Compact のバッテリーを交換する方法

私は Sony の Xperia Z3 Compact をとても気に入

東芝 Dynabook Satellite R35 のメモリを16GBに増設してみた

私はサブノートPCとして東芝 Dynabook Satellite R

結局Raspberry Pi 2 Model Bのケースを購入した

先日Raspberry Pi 2 Model Bのケースを自作してみま

→もっと見る

PAGE TOP ↑