(cache) glibcのgethostbyname系関数に脆弱性、「GHOST」と呼ばれる

glibcのgethostbyname系関数に脆弱性、「GHOST」と呼ばれる 20

ストーリー by hylom 2015年01月28日 17時15分
これはでかい部門より

あるAnonymous Coward 曰く、

クラウドセキュリティ企業Qualysの研究者が、GNU Cライブラリ（glibc）に深刻な脆弱性があることを発見した（JVNVU#99234709、CVE-2015-0235、ZDNet Japan）。
この脆弱性は「GHOST」と呼ばれており、これを利用することでリモートから任意のコードが実行される可能性があるという。
脆弱性が存在するのはglibc 2.2からglibc 2.17までで、piyologによるとglibcの__nss_hostname_digits_dots() にヒープバッファオーバーフローの脆弱性があり、この関数はgethostbyname()とgethostbyname2()で使われているという（Red Hat Bugzilla）。これら関数に細工されたURL文字列を与えることで、バッファオーバーフローを引き起こせる可能性があるようだ。
Qualysによれば、この問題は2013年5月21日にリリースされたglibc 2.17とglibc 2.18の間のバグフィックスで修正されているという。ところが、このバグフィックスはセキュリティ上の問題であるとは分類されていなかったため、多くのLinuxディストリビューションには適用されていないという。

コメントを書くすべてのコメント取得

検索20コメント Log In/Create an Account

影響を回避できそうなソフト (スコア:2)

by COCKY (5646) on 2015年01月28日 18時10分 (#2751756)

QualysのSecurity Teamの投稿 [seclists.org]によれば、以下のソフトは影響を受けなさそうとのこと。
> apache, cups, dovecot, gnupg, isc-dhcp, lighttpd, mariadb/mysql,
> nfs-utils, nginx, nodejs, openldap, openssh, postfix, proftpd,
> pure-ftpd, rsyslog, samba, sendmail, sysklogd, syslog-ng, tcp_wrappers,
> vsftpd, xinetd.
なのでとりあえず自分は様子見。

ここに返信

シェア
- Re: (スコア:0)
  
  by Anonymous Coward
  
  検証用 Redhat 5台
  検証用 CentOS 15台
  本番用 Redhat 3台
  本番用 CentOS 50台前後
  yumで適用して今のところ問題ありません。
  glibcですが1月7日前後にも更新されていますので
  yum-cronやyum-updatedでキャッシュしている場合
  古いのを当てて満足しないように・・・大きなお世話か。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  ここにのっていないもので大物は、BINDくらいですかね？
未だに gethostbyname なんか使っているんじゃねぇよ (スコア:1)

by JULY (38066) on 2015年01月28日 17時39分 (#2751734)

Qualys のレポート [qualys.com]
- The gethostbyname*() functions are obsolete; with the advent of IPv6, recent applications use getaddrinfo() instead.
IPv6 に対応しようとしたら、必然的に getaddrinfo() を使うんで、意外に問題が起きないケースは少なく無さそう。
getaddrinfo() ならセーフかというと、厳密には getaddrinfo の中で gethostbyname2_r() を呼び出していて、でも、問題を引き起こすのには条件がキツイからセーフ、といった具合。ZDNet の記事 [zdnet.com]の煽り具合ほどでは無さそうな感じ。

ここに返信

シェア
そのむかしドレッパーたんがゆってました (スコア:0)

by Anonymous Coward on 2015年01月28日 17時27分 (#2751722)

「長い文字列を黙って切り詰めることは許されない。文字列の長さを把握して領域を確保しろ。これが正しい文字列処理だ。」
できてないじゃん。

ここに返信

シェア
- Re: (スコア:0)
  
  by Anonymous Coward
  
  彼は「お前に給料をもらった覚えはない」と言いながらgethostbyname()を修正したのかしら
解決策 (スコア:0)

by Anonymous Coward on 2015年01月28日 17時36分 (#2751728)

Linuxを使わなければOk?

ここに返信

シェア
- glibc は (スコア:1)
  
  by Anonymous Coward on 2015年01月28日 18時12分 (#2751759)
  
  Linuxを使わなければOk?
  SANSのダイアリー [sans.edu]によると
  Some Windows software (and of course OS X) uses glibc as well and may be vulnerable.
  だそうだ。他に、静的に glibc がリンクされているプログラムも影響がある恐れ。あとは組み込み機器で glibc を採用していてネットワークを使うというかホスト名を扱うというか gethostbyname() を使うものも脆弱では。
  Openwall GNU/*/Linux - a small security-enhanced Linux distro for servers [openwall.com]によると
  The first vulnerable version of the GNU C Library is glibc-2.2, released on November 10, 2000.
  ねぇ。2000年11月にリリースされた版から脆弱、ですか。影響が広がりそう。
  
  ここに返信
  
  シェア
  
  親コメント
- Re:解決策 (スコア:1)
  
  by Dosa (17200) on 2015年01月29日 0時36分 (#2751956) 日記
  
  東京都や大阪府、愛知県など [nhk.or.jp]「せやな」
  
  ここに返信
  
  シェア
  
  親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  Theo「そう、OpenBSDならね」
組み込み系は放置されそう (スコア:0)

by Anonymous Coward on 2015年01月28日 17時56分 (#2751747)

組み込み系は放置されそうで怖いですな
Androidはlibcなのでセーフかな？

ここに返信

シェア
- Re: (スコア:0)
  
  by Anonymous Coward
  
  組み込み系もそうだけれど、LinuxやBSD系をベースに使っているゲーム機も結構怪しい。
  まあ、まともにセキュリティーメンテナンスされてもいないゲーム機のブラウザなんて、怖くて使えないけれどな。
  さらに怖いのが、ネット対応のTVだけど、こんなもののブラウザなんて使っている人はいないか。
トラブルの源泉という想いしかない (スコア:0)

by Anonymous Coward on 2015年01月28日 19時08分 (#2751781)

大抵はアプリ側が悪いのは分かってるんだけどさ。。

ここに返信

シェア
うちのglibcのバージョンいくつだっけ？ (スコア:0)

by Anonymous Coward on 2015年01月28日 19時59分 (#2751809)

脆弱性が存在するのはglibc 2.2からglibc 2.17までで
$ /lib64/libc.so.6 GNU C Library (Gentoo 2.20-r1 p3) stable release version 2.20, by Roland McGrath et al. Copyright (C) 2014 Free Software Foundation, Inc. This is free software; see the source for copying conditions. There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. Compiled by GNU CC version 4.9.2. Available extensions: C stubs add-on version 2.1.2 crypt add-on version 2.1 by Michael Glad and others GNU Libidn by Simon Josefsson Native POSIX Threads Library by Ulrich Drepper et al BIND-8.2.3-T5B libc ABIs: UNIQUE IFUNC For bug reporting instructions, please see: <http://bugs.gentoo.org/>.

また勝ってしまった。敗北を知りたい。

ここに返信

シェア
- Re: (スコア:0)
  
  by Anonymous Coward
  
  忘れてるだけだろ
- Re: (スコア:0)
  
  by Anonymous Coward
  
  gentoo 使いは泳ぎ続けないと（最新版を入れ続けないと）死んでしまうので仕方ないですよね。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    うちのFedora 20(glibc-2.18-16.fc20.x86_64) もセーフだから、21もセーフだろうな。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    外向けのサーバー、既に5年はemerge --syncすらしてないけど生きてるますよ。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      相手にも選ぶ権利がありますよね

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

glibcのgethostbyname系関数に脆弱性、「GHOST」と呼ばれる 20

glibcのgethostbyname系関数に脆弱性、「GHOST」と呼ばれる More | Reply ログイン

影響を回避できそうなソフト (スコア:2)

Re: (スコア:0)

Re: (スコア:0)

未だに gethostbyname なんか使っているんじゃねぇよ (スコア:1)

そのむかしドレッパーたんがゆってました (スコア:0)

Re: (スコア:0)

解決策 (スコア:0)

glibc は (スコア:1)

Re:解決策 (スコア:1)

Re: (スコア:0)

組み込み系は放置されそう (スコア:0)

Re: (スコア:0)

トラブルの源泉という想いしかない (スコア:0)

うちのglibcのバージョンいくつだっけ？ (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

スラッシュドット・ジャパン