GNU Cライブラリの「glibc」に深刻な脆弱性が見つかり、米GoogleとRed Hatの研究者が開発したパッチが2月16日に公開された。

脆弱性は2008年5月にリリースされたglibc 2.9以降のバージョンに存在する。Googleによると、glibcで「getaddrinfo()」ライブラリ機能が使われた際に、スタックベースのバッファオーバーフローの脆弱性が誘発されることが判明。

この機能を使っているソフトウェアは、攻撃者が制御するドメイン名やDNSサーバ、あるいは中間者攻撃を通じて脆弱性を悪用される恐れがあるという。

Googleの研究者は、先にこの問題を発見していたRed Hatの研究者と共同で調査を進め、脆弱性を突くコードの開発に成功したとしている。パッチの公開に合わせて、攻撃には利用できないコンセプト実証コードも公開した。これを使えば自分のシステムに脆弱性が存在するかどうかを確認し、回避策についても検証できるという。

脆弱性が指摘された機能は大半のUNIXベースシステムでIPアドレスの解決に使われており、影響はAndroidからホームルータに至るまで広範に及ぶ。


http://www.itmedia.co.jp/enterprise/articles/1602/17/news065.html

詳細:CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow


15: ランサルセ(空)@\(^o^)/ 2016/02/17(水) 19:52:42.70 ID:1ixUZivM0.net

glibcなんてオープンソースOSほとんど全てヒットするじゃないか。

5: スリーパーホールド(シンガポール)@\(^o^)/ 2016/02/17(水) 19:48:38.69 ID:Bwpygoh90.net

やばいだろ

3: 雪崩式ブレーンバスター(SB-iPhone)@\(^o^)/ 2016/02/17(水) 19:47:30.15 ID:/mhyDYmG0.net

誰かドラゴンボールで例えて

4: 膝十字固め(茨城県)@\(^o^)/ 2016/02/17(水) 19:48:27.11 ID:SC2JDwLE0.net

>>3
サイヤ人の尻尾を握ると力が抜ける

14: エメラルドフロウジョン(新潟県)@\(^o^)/ 2016/02/17(水) 19:51:52.01 ID:1J+C0AiE0.net

>>4
すげー的確でワロタ

7: グロリア(千葉県)@\(^o^)/ 2016/02/17(水) 19:49:02.67 ID:RtQzSwyL0.net

来たかε三三三三(o^w^)o

11: ファイヤーバードスプラッシュ(アラビア)@\(^o^)/ 2016/02/17(水) 19:50:06.74 ID:nRChyGWX0.net

き…脆弱性

8: 腕ひしぎ十字固め(新潟県)@\(^o^)/ 2016/02/17(水) 19:49:08.06 ID:chhVT8Jl0.net

もろよわせい

13: パイルドライバー(WiMAX)@\(^o^)/ 2016/02/17(水) 19:51:46.43 ID:sRvzi4Mv0.net

まだBSDがある!

6: ファイヤーバードスプラッシュ(新疆ウイグル自治区)@\(^o^)/ 2016/02/17(水) 19:48:43.03 ID:eDEWoDY50.net

BSD libc のオレ様大勝利111

19: エクスプロイダー(SB-iPhone)@\(^o^)/ 2016/02/17(水) 19:57:27.69 ID:jOOq381d0.net

>>6
勝ちだな

24: フェイスクラッシャー(茸)@\(^o^)/ 2016/02/17(水) 19:59:06.27 ID:dsFeA7kX0.net

BSDベース選んだMacは正しかった

29: 稲妻レッグラリアット(長野県)@\(^o^)/ 2016/02/17(水) 20:00:23.09 ID:ud7BoEqa0.net

PS4もBSD(FreeBSD)だから安心

17: ファルコンアロー(静岡県)@\(^o^)/ 2016/02/17(水) 19:55:28.66 ID:R9Z5C7DP0.net

古いglibcのままだった俺鯖に四角はなkった

32: 膝靭帯固め(長崎県)@\(^o^)/ 2016/02/17(水) 20:02:14.79 ID:Wkev+NlZ0.net

もうアップデートきてるのか

33: 稲妻レッグラリアット(長野県)@\(^o^)/ 2016/02/17(水) 20:03:05.35 ID:ud7BoEqa0.net

みんなyum update glibcしとけよ

37: エクスプロイダー(SB-iPhone)@\(^o^)/ 2016/02/17(水) 20:07:22.75 ID:jOOq381d0.net

>>33
コンパイルしたバイナリほっとくのん?

44: 稲妻レッグラリアット(長野県)@\(^o^)/ 2016/02/17(水) 20:13:44.76 ID:ud7BoEqa0.net

>>37
コンパイルしたバイナリは/lib/libc.soを外部参照してるだけだからほっといておk
ただし、バイナリあるいはサービスは再起動しておかないとダメよ(OS再起動の方が手っ取り早いが)

70: リバースパワースラム(神奈川県)@\(^o^)/ 2016/02/17(水) 21:10:30.29 ID:46+Univh0.net

>>44
ありがとう

41: サソリ固め(茨城県)@\(^o^)/ 2016/02/17(水) 20:10:02.34 ID:6cQ0OGsa0.net

getaddrinfo()とか何度目だよ

ほんと糞だな

43: ムーンサルトプレス(静岡県)@\(^o^)/ 2016/02/17(水) 20:13:34.58 ID:AQzZoz7M0.net

aptitude するか

49: シューティングスタープレス(長野県)@\(^o^)/ 2016/02/17(水) 20:25:28.28 ID:q5LdiWa30.net

おいマジかクソ

48: アキレス腱固め(神奈川県)@\(^o^)/ 2016/02/17(水) 20:22:28.22 ID:lxKNcS6i0.net

glibcなんてすげえ基本的なライブラリじゃん名前からして
って思ってたけど使ってないディストリビューションとかあんのね

52: ドラゴンスープレックス(家)@\(^o^)/ 2016/02/17(水) 20:27:29.46 ID:uNbHCQVo0.net

ソースの使い回しはこういう危険が孕んでるからな。
Linuxサーバーなんてのはある程度、共通モジュールのアップデート手順が明確化されてるけど、
Linuxの成果物を利用してるものは多岐に及ぶからな。

62: ダイビングヘッドバット(大阪府)@\(^o^)/ 2016/02/17(水) 20:58:43.84 ID:WXBkoTTA0.net

>>52
車輪の再発明コードよりは余程いいんじゃね?
独自コード書いたところでLinuxより厳重に検証する事なんてほぼ不可能だし

66: ドラゴンスープレックス(家)@\(^o^)/ 2016/02/17(水) 21:04:06.00 ID:uNbHCQVo0.net

>>62
それよかいい方法があるわけでない。
ソースの使い回しの危険性ってのはあるだろうさ。
それは理解して備えておかなきゃいかんってこった。

58: パロスペシャル(新疆ウイグル自治区)@\(^o^)/ 2016/02/17(水) 20:50:26.46 ID:4GN1cAQ70.net

Linuxはダメwってことだよw

59: 逆落とし(埼玉県)@\(^o^)/ 2016/02/17(水) 20:51:07.67 ID:JNB/JhT90.net

パッチを出してくれるようなデバイスならともかく、
ちょっと古いルータとかだと放置になるので
目も当てられないことになるのではないかのぉ?

61: リバースパワースラム(三重県)@\(^o^)/ 2016/02/17(水) 20:57:08.75 ID:LO3g9V0i0.net

なにこれこわい

60: ファイヤーバードスプラッシュ(dion軍)@\(^o^)/ 2016/02/17(水) 20:52:03.47 ID:lBEpafnY0.net

あれ?何年か前にもLinuxから似たような脆弱性発見されなかったっけ

56: 男色ドライバー(大阪府)@\(^o^)/ 2016/02/17(水) 20:39:42.27 ID:lHdgEHUC0.net

Win「プークスクス」

63: パロスペシャル(新疆ウイグル自治区)@\(^o^)/ 2016/02/17(水) 20:58:56.94 ID:4GN1cAQ70.net

windowsだとサーバーでも
勝手にダウンロードして再起動するだけでセキュリティの対策は終わる
Linuxで鯖となると、放置してる連中は多いと思う
落とされて終わりならいいけどね
未開のOSLinuxw

64: パロスペシャル(新疆ウイグル自治区)@\(^o^)/ 2016/02/17(水) 20:59:57.93 ID:4GN1cAQ70.net

未開土人のOSw

71: 河津掛け(空)@\(^o^)/ 2016/02/17(水) 21:10:42.37 ID:gX4Txq/V0.net

めんどくさい

69: リバースネックブリーカー(北海道)@\(^o^)/ 2016/02/17(水) 21:06:22.60 ID:Iq7RwIud0.net

djbの思想は正しかったんだな


元スレ: http://hayabusa3.2ch.sc/test/read.cgi/news/1455705935/