LoginSignup
5
4

More than 5 years have passed since last update.

@spiegel-im-spiegel(im Spiegel Der Spiegel)

glibc ライブラリの脆弱性

Posted at

この記事は本家ブログで書いたものだが,書いた当時の JVN の CVSSv3 評価値が 6.5 だったので「注意喚起」程度に考えていたが, NVD のほうの評価値が 8.1 とかなり高いので,こちらにも転載する。

GNU C ライブラリ(glibc)に send_dg() および send_vc() の処理に起因するスタックベースのバッファオーバーフロー脆弱性が存在する。

Google Online Security Blog: CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow” より

The glibc DNS client side resolver is vulnerable to a stack-based buffer overflow when the getaddrinfo() library function is used. Software using this function may be exploited with attacker-controlled domain names, attacker-controlled DNS servers, or through a man-in-the-middle attack.

glibc は中核的なライブラリであり,広範囲の製品に影響する可能性がある。Proof of Concept あり。

影響度(CVSS)

JVNVU#97236594 より

CVSSv3 基本評価値 6.5 (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:L)

基本評価基準 評価値
攻撃元区分(AV) ネットワーク(N)
攻撃条件の複雑さ(AC) 高(H)
必要な特権レベル(PR) 不要(N)
ユーザ関与レベル(UI) 不要(N)
スコープ(S) 変更なし(U)
情報漏えいの可能性(機密性への影響, C) なし(N)
情報改ざんの可能性(完全性への影響, I) 高(H)
業務停止の可能性(可用性への影響, A) 低(L)

CVE-2015-7547 より

CVSSv3 基本評価値 8.1 (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)

基本評価基準 評価値
攻撃元区分(AV) ネットワーク(N)
攻撃条件の複雑さ(AC) 高(H)
必要な特権レベル(PR) 不要(N)
ユーザ関与レベル(UI) 不要(N)
スコープ(S) 変更なし(U)
情報漏えいの可能性(機密性への影響, C) 高(H)
情報改ざんの可能性(完全性への影響, I) 高(H)
業務停止の可能性(可用性への影響, A) 高(H)

CVSS については解説ページを参照のこと。

影響を受ける製品

  • glibc 2.9 ~ 2.22 を含む製品(各ベンダの情報を参照のこと)
    • 主要な Linux ディストリビューションは既に対処済み
    • 各クラウド・サービスに影響する可能性あり
    • Linux 系のスイッチやルータに影響する可能性あり
    • Android では独自のライブラリを使っているため影響なしか?
    • アプリケーションが glibc を static に取り込んでいる場合も要注意

対策・回避策

参考

組織内ネットワークなどの第三者から直接到達不可能なプライベートネットワークにおいては、 同様にリスクとしては限定されると思われます。

5
4
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
5
4