glibcに脆弱性 11
ストーリー by hylom
これは影響がデカい 部門より
これは影響がデカい 部門より
あるAnonymous Coward 曰く、
ほぼすべてのLinuxで使われているCライブラリ「glibc」に脆弱性が発見された(ITmedia)。
問題となっているのは、指定したホストのネットワーク的な情報を取得するためのgetaddrinfo関数で、スタックベースのバッファオーバーフローの脆弱性が誘発される可能性があるとのこと。2008年5月にリリースされたglibc 2.9以降のバージョンに存在するという。
また、Google Online Security Blogによると、2048バイトを超すサイズのUDPもしくはTCPレスポンスによって問題が発生するとのこと。迅速なglibcのアップデートおよびそれを利用するアプリケーションの再起動が推奨されているが、それができない場合に向けてファイアウォールなどでレスポンスサイズを制限することで一時的な対象も可能だという。
CentOS (スコア:2)
今、アップデート確認したら125個も来てた。
こりゃ、再起動コースかな・・・
「一時的な対象」は (スコア:0)
「一時的な対処」では?
Re: (スコア:0)
誰だい、このバグを仕込んだのは?
Re: (スコア:0)
バグじゃないよ、仕様だよ
Debianだと (スコア:0)
sidにはパッチが当たったlibcが下りて来てますが、stretch(testing)はまだ。
http://metadata.ftp-master.debian.org/changelogs/main/g/glibc/glibc_2.... [debian.org]より:
多分、jessieやwheezyには降りてて、sqeeze-ltsはよくわからない(まだかも)。
--暮らしの中に修行あり。
blogはじめました。 [hatena.ne.jp]
Re:Debianだと (スコア:3, 参考になる)
jessie つまり stable も修正済みです
DSAから引用すると
> For the stable distribution (jessie), these problems have been fixed in version 2.19-18+deb8u3.
とのことです
なおglibcにはCVE-2015-7547だけでなく,さらに3つ脆弱性が発見されていて,今回のアップデートで修正されているとのことです
詳細は https://www.debian.org/security/2016/dsa-3481 [debian.org] をみてください
Re: (スコア:0)
発見者がFedoraの開発者であることもあってGentooなどのマイナーなディストリビューションを除いて主要なディストリビューションは既に修正済みのようですね。
なにいっとんのこいつ? (スコア:0)
発見者がFedoraの開発者であることもあってGentooなどのマイナーなディストリビューションを除いて主要なディストリビューションは既に修正済みのようですね。
何を勘違いしてるのか知らんが、あらゆるディストリに先駆けて速攻で対策したのがGentooですから。
glibc-2.22用が これ [gentoo.org]。 (2016-02-16 20:38:22)
glibc-2.21用がこれ [gentoo.org]。 (2016-02-16 19:01:28)
とっくの昔にrsync配布止めてるんで、.ebuildが書かれた瞬間にgithubからemerge --syncで一発で落ちてくるやね。
ええ。ビルドは各自勝手にするから、パッチ書くだけなんで速攻ですよ。
スラドのタレコミどころか、ITmediaの記事が出るより早いみたいなね。
そもそもこの速度に主要なディストリビューシ
Re: (スコア:0)
こういう奴がいる限り、linuxってダメなんだよなと思う。
わざわざ聞いてもらえない物言いして、どうすんだろう、
このコミュ障。
GHOST対策 (スコア:0)
関連ストーリーに挙がっているgethostbyname()の脆弱性への対策では「getaddrinfo()使えば大丈夫!」なんてサジェストしてたみたいですが…こっちもダメだったんじゃねーか!
http://linux.srad.jp/comments.pl?sid=650658&cid=2751734 [linux.srad.jp]
ファイアウォールが (スコア:0)
glibcのgetaddrinfo関数使ってたらアウト?