Help us understand the problem. What is going on with this article?

glibc ライブラリの脆弱性

More than 3 years have passed since last update.

この記事は本家ブログで書いたものだが,書いた当時の JVN の CVSSv3 評価値が 6.5 だったので「注意喚起」程度に考えていたが, NVD のほうの評価値が 8.1 とかなり高いので,こちらにも転載する。


GNU C ライブラリ(glibc)に send_dg() および send_vc() の処理に起因するスタックベースのバッファオーバーフロー脆弱性が存在する。

Google Online Security Blog: CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow” より

The glibc DNS client side resolver is vulnerable to a stack-based buffer overflow when the getaddrinfo() library function is used. Software using this function may be exploited with attacker-controlled domain names, attacker-controlled DNS servers, or through a man-in-the-middle attack.

glibc は中核的なライブラリであり,広範囲の製品に影響する可能性がある。Proof of Concept あり。

影響度(CVSS)

JVNVU#97236594 より

CVSSv3 基本評価値 6.5 (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:L)

基本評価基準 評価値
攻撃元区分(AV) ネットワーク(N)
攻撃条件の複雑さ(AC) 高(H)
必要な特権レベル(PR) 不要(N)
ユーザ関与レベル(UI) 不要(N)
スコープ(S) 変更なし(U)
情報漏えいの可能性(機密性への影響, C) なし(N)
情報改ざんの可能性(完全性への影響, I) 高(H)
業務停止の可能性(可用性への影響, A) 低(L)

CVE-2015-7547 より

CVSSv3 基本評価値 8.1 (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)

基本評価基準 評価値
攻撃元区分(AV) ネットワーク(N)
攻撃条件の複雑さ(AC) 高(H)
必要な特権レベル(PR) 不要(N)
ユーザ関与レベル(UI) 不要(N)
スコープ(S) 変更なし(U)
情報漏えいの可能性(機密性への影響, C) 高(H)
情報改ざんの可能性(完全性への影響, I) 高(H)
業務停止の可能性(可用性への影響, A) 高(H)

CVSS については解説ページを参照のこと。

影響を受ける製品

  • glibc 2.9 ~ 2.22 を含む製品(各ベンダの情報を参照のこと)
    • 主要な Linux ディストリビューションは既に対処済み
    • 各クラウド・サービスに影響する可能性あり
    • Linux 系のスイッチやルータに影響する可能性あり
    • Android では独自のライブラリを使っているため影響なしか?
    • アプリケーションが glibc を static に取り込んでいる場合も要注意

対策・回避策

参考

組織内ネットワークなどの第三者から直接到達不可能なプライベートネットワークにおいては、 同様にリスクとしては限定されると思われます。

spiegel-im-spiegel
職業エンジニアは無期休業中。
https://baldanders.info/
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした