現在、何が起きているか?
各種 Linux でリモートから任意のコマンドを実行される可能性があります。
gethostbyname() を使ってホスト名を処理しているサービス(一部のメールサーバー、アクセス解析プログラムなど)においては、非常に危険です。
既に攻撃コードが公開されており、容易にセキュリティホールを悪用できる状態です。
- SMTP サーバの exim では、ホスト名を検証するオプションが設定されている場合、gethostbyname() が使われることが確認されています。
https://lists.exim.org/lurker/message/20150127.200135.056f32f2.en.htmlTo protect Exim against the HELO/EHLO attack vector, do *not* set either of these in the main configuration:
helo_verify_hosts
helo_try_verify_hosts
and do *not* use the following in any ACLs:
verify = helo
- その他、iputils の clockdiff コマンドや Procmail、pppdも影響を受けることが確認されました。
以下のプロダクトでも影響する可能性があることが発表されました。(2015/2/2 追記、修正)
| ベンダー名 | 製品名 |
|---|---|
| Linux Foundation | eglibc |
| F5 Networks (2015/1/30 修正) |
BIG-IP LTM / BIG-IP AAM / BIG-IP AFM / BIG-IP Analytics / BIG-IP APM / BIG-IP ASM / BIG-IP Edge Gateway / BIG-IP GTM / BIG-IP Link Controller / BIG-IP PEM / BIG-IP PSM / BIG-IP WebAccelerator / BIG-IP WOM / ARX / Enterprise Manager / BIG-IQ Cloud / BIG-IQ Device / BIG-IQ Security |
| Citrix Systems | Citrix XenServer / Citrix NetScaler SDX / Citrix XenMobile / Citrix License Server VPX / Citrix CloudPlatform / Citrix XenClient Enterprise |
| Cisco Systems (2015/2/2 修正) |
Cisco Jabber Guest 10.0(2) / Identity Services Engine (ISE) / Cisco Prime Infrastructure 2.2 / Cisco Prime Optical for SPs / Cisco Connected Grid Routers (CGR) / Cisco Unified Communications Manager (UCM) 10.0 / Cisco Unified Communications Manager Session Management Edition (SME) / Cisco Unified SIP Proxy / Cisco DCM Series 9900-Digital Content Manager / Cisco Edge 300 Digital Media Player / Cisco Edge 340 Digital Media Player / Cisco Expressway Series/ Cisco TelePresence Conductor / Cisco TelePresence Video Communication Server (VCS) / Cisco SLIM |
| Blue Coat Systems | Content Analysis System / Director / DLP / Malware Analysis Appliance / Malware Analyzer G2 / Management Center / Norman Shark Industrial Control System Protection / Norman Shark Network Protection / Norman Shark SCADA Protection / PacketShaper S-Series / Security Analytics / SSL Visibility / X-Series |
| Juniper Networks (2015/2/2 修正) |
Junos Space / CTPView / CTP / IDP-SA / SRC / NSM Appliance / JSA and STRM Series |
| Check Point Software Technologies (2015/1/30 追加) |
Security Gateway / Security Management / Multi-Domain Management (Provider-1) / VSX |
| Trend Micro (2015/2/2 追加) |
InterScan for Message Security Virtual Appliance |
今後、何が起こるか?
glibc は、様々な Linux で標準的に利用されているコアライブラリです。
gethostbyname() 関数を使用するサービスは多種多様であり、影響を受けるサービスの特定が難しいため、潜在的に脆弱性が残る可能性が懸念されます。
また、Linux ベースで動作しているアプライアンスシステムなどの場合にはベンダからの情報が遅れたり、古い機器では修正プログラムが提供されない可能性があり、
glibc をスタティックリンクして使用している場合には、ライブラリのアップデートだけでは問題が修正されません。
どうすれば良いのか?
各ベンダーの更新プログラムを入手し、適切なバージョンへアップデートしてください。
さらに、glibc のアップデート後にその変更を反映するためには、関連するサービスプログラムもしくはシステムの再起動が必要になります。
標準的には glibc はダイナミックリンクで利用されますが、明示的にスタティックリンクによって利用しているプログラムでは、適切なバージョンへ glibc をアップデートした後に再コンパイルを実行してください。
アップデートが困難な場合には、
- ファイアウォールなどにより外部からの入力をフィルタする
が挙げられます。
ただし、意図していない経路からセキュリティホールを利用されてしまう可能性が残りますので、適切なバージョンへのアップデートを推奨します。
SIDfm関連コンテンツ
- GNU C ライブラリ (glibc) の gethostbyname 関数の処理に任意のコードを実行される問題 (SIDfmID:20042)
- Debian GNU/Linux の の eglibc に複数のセキュリティホール (SIDfmID:20052)
免責事項
本ページの情報は、無保証で「As is」(現状のまま)として提供します。本ページの情報は、ご利用者様の責任においてご利用ください。本ページにおける当社が提供する情報及びその他の情報に基づいたページ利用者様の行為により、いかなる付随・必然の損害が生じた場合でも、当社はその法的債務あるいは法的責任を負うものではありません。また、当社は本ページにおいて提供する情報の正確性、完全性および有用性に対し、明示的にも暗黙的にもいかなる保証を行うものではなく、いかなる法的債務あるいは法的責任を負うものではありません。