GHOST についてまとめとくか
GHOST についてまとめとくか
めんどうなこった。あとでちゃんとブログ記事にする。
Linuxできわめて重大で危険な脆弱性「GHOST」を確認
米国のセキュリティベンダー「Qualys」の研究者らは1月27日(米国時間)、「oss-security - Qualys Security Advisory CVE-2015-0235 - GHOST: glibc…news.mynavi.jp
米国のセキュリティベンダー「Qualys」の研究者らは1月27日(米国時間)、「oss-security - Qualys Security Advisory CVE-2015-0235 - GHOST: glibc…news.mynavi.jp
バッファオーバーフローが発見された関数は__nss_hostname_digits_dots()だが、ユーザランドのソフトウェアからはgethostbyname()などの関数を呼び出すことでこの関数が実行される。
Qualysの研究者によると、2013年の時点でこの脆弱性を発見して、glibc-2.17とglibc-2.18の間において修正を行っているが、 当時はセキュリティに関わるリスクとしては認識されていなかったため、長期サポートの対象となっているバージョンのLinuxディストリビューションでは この脆弱性が修正されることなく残り続けているという。
Qualys Security Advisory CVE-2015–0235 — GHOST: glibc gethostbyname buffer overflow
この記事にある検証用コードを Gist に貼り付けておいた。
おっと。すでに GitHub に上がってるか。
Vulnerability Note VU#967332 - GNU C Library (glibc) __nss_hostname_digits_dots() function…
The __nss_hostname_digits_dots() function of the GNU C Library (glibc) allows a buffer overflow condition in which…www.kb.cert.org
The __nss_hostname_digits_dots() function of the GNU C Library (glibc) allows a buffer overflow condition in which…www.kb.cert.org
CVSS 基本値が出せないのは glibc を利用するアプリケーションとの組み合わせによって影響範囲が変わるからと思われる。ほとんどのディストリビューションにはアップデートパッチが用意されているので、必ず更新すること。なお再起動を伴うのでアップデートは計画的に。ちなみに Android は glibc は使ってないので影響を受けないらしい。
日本製品の情報はこちら。でもまだ情報が少ないなぁ。ルータやスイッチなど組み込み製品の動向に注意すること。
Linuxに深刻なセキュリティホール「GHOST」、今すぐパッチが必要
クラウドセキュリティ企業Qualysの研究者が、Linux GNU Cライブラリ(glibc)に深刻なセキュリティホールである 「GHOST」(CVE-2015-0235) を発見した。この脆弱性を利用すると、ハッカーはIDやパスワード…japan.zdnet.com
クラウドセキュリティ企業Qualysの研究者が、Linux GNU Cライブラリ(glibc)に深刻なセキュリティホールである 「GHOST」(CVE-2015-0235) を発見した。この脆弱性を利用すると、ハッカーはIDやパスワード…japan.zdnet.com
勇み足(笑)
glibc Libraryの脆弱性 CVE-2015-0235(通称:GHOST)についてまとめてみた - piyolog
2015年1月27日(現地時間) QualysはLinuxのglibc Libraryに脆弱性を発見し、情報を公開しました。ここでは..d.hatena.ne.jp
2015年1月27日(現地時間) QualysはLinuxのglibc Libraryに脆弱性を発見し、情報を公開しました。ここでは..d.hatena.ne.jp
網羅的。おすすめ。
次に、すべてのアプリケーションが等しく危険にさらされているわけではありません。この脆弱性の攻撃において攻撃者が利用できるのは4バイトもしくは 8バイトのエクスプロイトコードであり、実行できることは非常に限られています。この攻撃に利用できるバイト数は OS が 32ビット版か 64ビット版かで異なります。追加のコードは、変更可能なポインタに参照されるアドレスに攻撃者が脆弱性とは別の方法で書き込んで置かなければなりませ ん。また、apache や postfix、OpenSSH など、多くの有名アプリケーションがこの脆弱性の影響を受けないことも確認されています。これまでのところ、トレンドマイクロでは、Web攻撃に利用される可能性のある感染媒体を確認しておらず、そのため攻撃の可能性はかなり低いものと考えられます。
最後に、この脆弱性が対象とする関数「gethostbyname*()」はすでに古いものとなっています。これらの関数は IPv6アドレスに対応していないため、多くの新しいアプリケーションでは、この脆弱な関数「gethostbyname*()」ではなく、IPv6 をサポートする関数「getaddrinfo()」を使用しているものと考えられます。
IPA からもアナウンスが出たな。