GNU Cライブラリの「glibc」に深刻な脆弱性が見つかり、米GoogleとRed Hatの研究者が開発したパッチが2月16日に公開された。
脆弱性は2008年5月にリリースされたglibc 2.9以降のバージョンに存在する。Googleによると、glibcで「getaddrinfo()」ライブラリ機能が使われた際に、スタックベースのバッファオーバーフローの脆弱性が誘発されることが判明。
この機能を使っているソフトウェアは、攻撃者が制御するドメイン名やDNSサーバ、あるいは中間者攻撃を通じて脆弱性を悪用される恐れがあるという。
Googleの研究者は、先にこの問題を発見していたRed Hatの研究者と共同で調査を進め、脆弱性を突くコードの開発に成功したとしている。パッチの公開に合わせて、攻撃には利用できないコンセプト実証コードも公開した。これを使えば自分のシステムに脆弱性が存在するかどうかを確認し、回避策についても検証できるという。
脆弱性が指摘された機能は大半のUNIXベースシステムでIPアドレスの解決に使われており、影響はAndroidからホームルータに至るまで広範に及ぶ。
http://www.itmedia.co.jp/enterprise/articles/1602/17/news065.html
詳細:CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow
15: ランサルセ(空)@\(^o^)/ 2016/02/17(水) 19:52:42.70 ID:1ixUZivM0.net
glibcなんてオープンソースOSほとんど全てヒットするじゃないか。
5: スリーパーホールド(シンガポール)@\(^o^)/ 2016/02/17(水) 19:48:38.69 ID:Bwpygoh90.net
やばいだろ
3: 雪崩式ブレーンバスター(SB-iPhone)@\(^o^)/ 2016/02/17(水) 19:47:30.15 ID:/mhyDYmG0.net
誰かドラゴンボールで例えて
4: 膝十字固め(茨城県)@\(^o^)/ 2016/02/17(水) 19:48:27.11 ID:SC2JDwLE0.net
>>3
サイヤ人の尻尾を握ると力が抜ける
14: エメラルドフロウジョン(新潟県)@\(^o^)/ 2016/02/17(水) 19:51:52.01 ID:1J+C0AiE0.net
>>4
すげー的確でワロタ
7: グロリア(千葉県)@\(^o^)/ 2016/02/17(水) 19:49:02.67 ID:RtQzSwyL0.net
来たかε三三三三(o^w^)o
11: ファイヤーバードスプラッシュ(アラビア)@\(^o^)/ 2016/02/17(水) 19:50:06.74 ID:nRChyGWX0.net
き…脆弱性
8: 腕ひしぎ十字固め(新潟県)@\(^o^)/ 2016/02/17(水) 19:49:08.06 ID:chhVT8Jl0.net
もろよわせい
13: パイルドライバー(WiMAX)@\(^o^)/ 2016/02/17(水) 19:51:46.43 ID:sRvzi4Mv0.net
まだBSDがある!
6: ファイヤーバードスプラッシュ(新疆ウイグル自治区)@\(^o^)/ 2016/02/17(水) 19:48:43.03 ID:eDEWoDY50.net
BSD libc のオレ様大勝利111
19: エクスプロイダー(SB-iPhone)@\(^o^)/ 2016/02/17(水) 19:57:27.69 ID:jOOq381d0.net
>>6
勝ちだな
24: フェイスクラッシャー(茸)@\(^o^)/ 2016/02/17(水) 19:59:06.27 ID:dsFeA7kX0.net
BSDベース選んだMacは正しかった
29: 稲妻レッグラリアット(長野県)@\(^o^)/ 2016/02/17(水) 20:00:23.09 ID:ud7BoEqa0.net
PS4もBSD(FreeBSD)だから安心
17: ファルコンアロー(静岡県)@\(^o^)/ 2016/02/17(水) 19:55:28.66 ID:R9Z5C7DP0.net
古いglibcのままだった俺鯖に四角はなkった
32: 膝靭帯固め(長崎県)@\(^o^)/ 2016/02/17(水) 20:02:14.79 ID:Wkev+NlZ0.net
もうアップデートきてるのか
33: 稲妻レッグラリアット(長野県)@\(^o^)/ 2016/02/17(水) 20:03:05.35 ID:ud7BoEqa0.net
みんなyum update glibcしとけよ
37: エクスプロイダー(SB-iPhone)@\(^o^)/ 2016/02/17(水) 20:07:22.75 ID:jOOq381d0.net
>>33
コンパイルしたバイナリほっとくのん?
44: 稲妻レッグラリアット(長野県)@\(^o^)/ 2016/02/17(水) 20:13:44.76 ID:ud7BoEqa0.net
>>37
コンパイルしたバイナリは/lib/libc.soを外部参照してるだけだからほっといておk
ただし、バイナリあるいはサービスは再起動しておかないとダメよ(OS再起動の方が手っ取り早いが)
70: リバースパワースラム(神奈川県)@\(^o^)/ 2016/02/17(水) 21:10:30.29 ID:46+Univh0.net
>>44
ありがとう
41: サソリ固め(茨城県)@\(^o^)/ 2016/02/17(水) 20:10:02.34 ID:6cQ0OGsa0.net
getaddrinfo()とか何度目だよ
ほんと糞だな
43: ムーンサルトプレス(静岡県)@\(^o^)/ 2016/02/17(水) 20:13:34.58 ID:AQzZoz7M0.net
aptitude するか
49: シューティングスタープレス(長野県)@\(^o^)/ 2016/02/17(水) 20:25:28.28 ID:q5LdiWa30.net
おいマジかクソ
48: アキレス腱固め(神奈川県)@\(^o^)/ 2016/02/17(水) 20:22:28.22 ID:lxKNcS6i0.net
glibcなんてすげえ基本的なライブラリじゃん名前からして
って思ってたけど使ってないディストリビューションとかあんのね
52: ドラゴンスープレックス(家)@\(^o^)/ 2016/02/17(水) 20:27:29.46 ID:uNbHCQVo0.net
ソースの使い回しはこういう危険が孕んでるからな。
Linuxサーバーなんてのはある程度、共通モジュールのアップデート手順が明確化されてるけど、
Linuxの成果物を利用してるものは多岐に及ぶからな。
62: ダイビングヘッドバット(大阪府)@\(^o^)/ 2016/02/17(水) 20:58:43.84 ID:WXBkoTTA0.net
>>52
車輪の再発明コードよりは余程いいんじゃね?
独自コード書いたところでLinuxより厳重に検証する事なんてほぼ不可能だし
66: ドラゴンスープレックス(家)@\(^o^)/ 2016/02/17(水) 21:04:06.00 ID:uNbHCQVo0.net
>>62
それよかいい方法があるわけでない。
ソースの使い回しの危険性ってのはあるだろうさ。
それは理解して備えておかなきゃいかんってこった。
58: パロスペシャル(新疆ウイグル自治区)@\(^o^)/ 2016/02/17(水) 20:50:26.46 ID:4GN1cAQ70.net
Linuxはダメwってことだよw
59: 逆落とし(埼玉県)@\(^o^)/ 2016/02/17(水) 20:51:07.67 ID:JNB/JhT90.net
パッチを出してくれるようなデバイスならともかく、
ちょっと古いルータとかだと放置になるので
目も当てられないことになるのではないかのぉ?
61: リバースパワースラム(三重県)@\(^o^)/ 2016/02/17(水) 20:57:08.75 ID:LO3g9V0i0.net
なにこれこわい
60: ファイヤーバードスプラッシュ(dion軍)@\(^o^)/ 2016/02/17(水) 20:52:03.47 ID:lBEpafnY0.net
あれ?何年か前にもLinuxから似たような脆弱性発見されなかったっけ
56: 男色ドライバー(大阪府)@\(^o^)/ 2016/02/17(水) 20:39:42.27 ID:lHdgEHUC0.net
Win「プークスクス」
63: パロスペシャル(新疆ウイグル自治区)@\(^o^)/ 2016/02/17(水) 20:58:56.94 ID:4GN1cAQ70.net
windowsだとサーバーでも
勝手にダウンロードして再起動するだけでセキュリティの対策は終わる
Linuxで鯖となると、放置してる連中は多いと思う
落とされて終わりならいいけどね
未開のOSLinuxw
64: パロスペシャル(新疆ウイグル自治区)@\(^o^)/ 2016/02/17(水) 20:59:57.93 ID:4GN1cAQ70.net
未開土人のOSw
71: 河津掛け(空)@\(^o^)/ 2016/02/17(水) 21:10:42.37 ID:gX4Txq/V0.net
めんどくさい
69: リバースネックブリーカー(北海道)@\(^o^)/ 2016/02/17(水) 21:06:22.60 ID:Iq7RwIud0.net
djbの思想は正しかったんだな
元スレ: http://hayabusa3.2ch.sc/test/read.cgi/news/1455705935/