概要
VMware社からナレッジ「VMware KB: VMware Response to CVE-2015-0235 - glibc gethostbyname buffer overflow, aka "GHOST" (2105862)」が発行されており、現在のところ評価中だが、評価範囲内では影響がないとしている。
詳細
VMware製品への影響や対策は、ナレッジベースおよびセキュリティアドバイザリで確認する。以下に確認できた範囲で情報をまとめる。
背景
2015年1月28日に、National Vulnerbility DatabaseにCVE-2015-0235が登録されている。またJPAから「JVNVU#99234709: glibc ライブラリにバッファオーバーフローの脆弱性」、IPAから「glibc の脆弱性対策について(CVE-2015-0235)」が発信されている。この問題は、QUALYSの報告にもある「GHOST」の通称でも情報が広まっている。
VMware社からの発信情報
GHOSTのVMware製品への影響については、VMware社から(1)VMware社製品に関する影響調査状況のナレッジが出されている。
現在のところ、セキュリティアドバイザリは発行されていない。ナレッジで説明されている影響度を考えると、特に発行されないかもしれない。
関連ナレッジの和訳
現在のところ、関連ナレッジの和訳はない。
対策
現在のところ、特別なアクションは必要ないと思われる。ナレッジでは、以下のように説明している。
While some VMware products do ship with the vulnerable versions of glibc, based on our current analysis VMware products are not affected by this issue. This conclusion is based on not finding a method to pass untrusted input to the vulnerable glibc function in any VMwareproduct.
VMware products that ship with vulnerable versions of glibc will be updated in upcoming releases in accordance with our security response policy found here.
以下に私訳を乗せる。
いくつかのVMware製品は脆弱性のある版数のglibcを含んで出荷されているが、私たちの現在までの調査では、VMware製品はこの問題の影響を受けない。この結論は、どのVMware製品においても、脆弱性のあるglibc関数に信頼できない入力値を受け渡す方法が見つからなかったことによる。
脆弱性のある版数のglibcを含むVMware製品は、こちらのセキュリティ対応ポリシーに従って、次回のリリースで更新される。
セキュリティ製品ベンダであるTrendmicroが、一般論として「Linuxに存在する脆弱性「GHOST」、システム管理者は落ち着いて対処を」(原文)というブログエントリを公開しており、同様の提言をしている。
システム管理者はこの脆弱性問題を放置することはできませんが、冷静に落ち着いた対応を取ることができるでしょう。すでに各Linuxディストリビューションからは、使用中の glibc のバージョンを更新する修正プログラムが公開されています。管理者は公開され次第、修正プログラムを適用して下さい。
参照
本脆弱性の内容。
- JVNVU#99234709: glibc ライブラリにバッファオーバーフローの脆弱性
- glibc の脆弱性対策について(CVE-2015-0235)
- QUALYSの報告
- Linuxに存在する脆弱性「GHOST」、システム管理者は落ち着いて対処を
VMware社からの発信情報。
VMware社のナレッジやセキュリティアドバイスは、随時更新されるので、適宜、原文を確認されたい。
本ページ内容は筆者が参照の便のためにある持点でまとめた個人的なメモです。内容を保証するものではなく、また筆者の所属組織等とは一切かかわりがありません。