IT EVANGELIST.NET ロゴ

クライアントの課題をITで解決する

Linux GNU Cライブラリ(glibc)に脆弱性 CVE-2015-0235(通称:GHOST)が見つかる

公開日: 2015/01/29
カテゴリー: セキュリティ

2015年1月28日、Linux等UNIX系OSで標準的に使用されているC言語標準ライブラリ「glibc」に脆弱性が発見されました。

Qualysが公開した「GHOST」のキャラクター

Qualysが公開した「GHOST」のキャラクター


ITmediaエンタープライズ:glibcライブラリに脆弱性、多数のLinuxディストリビューションに影響か

脆弱性を報告した米セキュリティ企業のQualysによると、脆弱性は「nss_hostname_digits_dots()」関数に起因し、2000年にリリースされたglibc 2.2から2.17までに存在する。細工されたホスト名を「gethostbyname」などの関数の引数に渡すことで、バッファオーバーフローを誘発されてしまう。

JVC:JVNVU#99234709 glibc ライブラリにバッファオーバーフローの脆弱性

遠隔の第三者によって、任意のコードを実行されたりサービス運用妨害 (DoS) 攻撃が行われたりするなどの可能性があります。

放置した場合、多くのアプリケーションがこの脆弱性の影響を受けることが予想されますので、自社サーバの対応を行いました。

自社サーバに適応

まずは、glibcのバージョンを確認します。

glibcのバージョンを確認

私の管理しているサーバの場合、該当しているバージョンでしたのでyumでアップデートを行います。

脆弱性の対象となるバージョンの場合、glibcのアップデートを実行

アップデート後、念のためテストプログラムを走らせて確認をしてみます。

テストプログラムについては、以下のサイトの「オンラインでの確認方法」を参考に行いました

piyolog:glibc の脆弱性 CVE-2015-0235(通称:GHOST)についてまとめてみた

テストプログラムの実行

無事「not vulnerable」と表示されました。

こちらは、用が済んだら削除しておきましょう。


弊社では、長年、主にWeシステム開発を必要とするWebコンサルティングに携わって来ましたが、RFPの作成、プロジェクトマネジメント、システム設計及び構築、運用といった段階から「ゴール」を目指す、という事も行なっております。

まずは、現状の問題点を洗い出す「監査」や「Web解析」も行なっておりますので、Webサイト構築、Webサイトリニューアル、Webシステム構築・リニューアルをご検討の場合には、是非ご相談下さい。

タグ: ,
Nexusシリーズ まとめ バナー データ通信SIM まとめ バナー 二見・鳥羽・伊勢神宮 まとめ バナー

検索

ウチムラヒロシ アイコン 運営者:ウチムラ ヒロシ

神戸出身。 コラムを書いたり、コンサルティングしたり、企画書を書いたり、コードを書いたり、サーバ組んだりしてます。

関連サイト

喰意地 kuiiji