glibcにバッファオーバーフローの脆弱性。パッチ情報と回避策はリモートコード実行の恐れ

Linuxで広く使われている「glibc」にバッファオーバーフローの脆弱性が報告されている。修正パッチ適用を急ぎたい。

» 2016年02月17日 17時44分 公開
[@IT]
問題を報告するグーグルのブログ記事

 Linuxで広く利用されているGNU Cライブラリ「glibc」に、重大なスタックベースのバッファオーバーフローの脆弱(ぜいじゃく)性(CVE-2015-7547)が見つかった。米グーグルと米レッドハットによって修正パッチが公開されている。

 この脆弱性はglibcの「getaddrinfo」関数に存在し、2008年5月に公開されたglibc 2.9以降の全てのバージョンのglibcが影響を受ける。

 グーグルのセキュリティチームのブログ投稿によると、この問題によって、getaddrinfo関数を使用してクライアント側で名前解決を行う際に、バッファオーバーフローが発生する可能性があるという。この関数を使用するソフトウェアでは、攻撃者が制御するドメインやDNSサーバ、あるいは中間者攻撃を介して脆弱性を悪用され、リモートで任意のコードを実行される恐れがある。

 この脆弱性はレッドハットの技術者が最初に報告し、同様にこの問題を調査していたグーグルのセキュリティチームと共同で2月16日にパッチを公開している。

すぐにパッチを適用できない場合の緩和策

 今回問題となっているの脆弱性は、2048バイトを超えるUDPまたはTCPレスポンスに続いて別のレスポンスがそのスタックを上書きすることで、バッファオーバーフローが発生するというもの。

 この脆弱性を調査していたグーグルの研究者は、すぐにパッチを適用できない場合、次のような方法で攻撃を受けるリスクを緩和できるとしていいる。

  1. DNSリゾルバがローカルに受け入れるレスポンスのサイズをDNSMasqなどを使って制限する
  2. DNSクエリがUDPレスポンスのサイズを制限するDNSサーバにのみ送信されるようにする

 グーグルのセキュリティチームは、この脆弱性の悪用によってリモートでコードが実行される恐れがあるものの、それはこうした攻撃が、ASLR(Address Space Layout Randomization:アドレス空間配置のランダム化)など、システム上のセキュリティ対策を回避した場合に限られるとも指摘、ブログ投稿と合わせて、脆弱性の実証コードも公開した。このコードは攻撃には使えない無害なもので、システムがこの脆弱性の影響を受けるかどうかや、緩和策が有効かどうかの検証に利用できるという。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。