【GHOST】 glibc に深刻な脆弱性(CVE-2015-0235)が発生した件を確認してみました

こんにちは。unoです。それでは、さっそく本題に。

■CVE-2015-0235に関して

glibc に深刻な脆弱性(CVE-2015-0235)が発見されました。

glibc の gethostbyname 関数に脆弱性があることから、既に海外では GHOST という名称がついたようです。

今回の脆弱は、悪意のあるコードを用いてリモートから任意のコマンドを実行できるようになるというもの。

内容を見る限りでは、昨年の shellshock と同様、もしくはそれ以上に手間がかかりそうです。

運用担当としては、とても胃が痛いです、、、ぐぬぬぬ。。

 

Linuxに深刻なセキュリティホール「GHOST」、今すぐパッチが必要(zdnet)

Red Hat Bugzilla – Bug 1183461

The GHOST Vulnerability(Qualys Blog)

 

Linux に触っていない人から見ると glibc というサービスは無いから大丈夫だ、、!と思われるかもしれませんが、今回も shellshock 同様、影響範囲が広く、Linux サーバのほぼすべてが影響を受けます。

 

なぜならば、

・ライブラリとは各サービスやサーバのシステムにおいて、各種動作するために必要なものという位置づけであること

・そのライブラリの中でもC言語のライブラリであること

・C言語がほぼ大半のシステムで利用されていること

 

以上のことから、その影響の大きさが実感できると思います。

GNU Cライブラリ(Wikipedia)
また、glibc は様々な開発言語・サービス等で利用されているため、一見大丈夫なように見えても影響を受ける可能性があるので要注意です。むしろほぼすべての外部に展開しているサービスは影響を受けそうです⇒update 1/29:実際には多くのアプリケーションは影響を受けなさそうですが、一部影響を受けるものもあるようです。
・Linuxに存在する脆弱性「GHOST」、システム管理者は落ち着いて対処を(トレンドマイクロ)
Re: Qualys Security Advisory CVE-2015-0235 – GHOST: glibc gethostbyname buffer overflow

 

shellshock よりも手間がかかる点として、サービスの再起動が必要な点があります。

おそらく、パッチを当てるだけではライブラリは適用されず、メモリ上で旧バージョンのライブラリを使用する可能性が高いので、サービスの再起動は必要そうですね。

そういう点で、再起動が不要だった shellshock よりも対応の手間がかかります。

では、どのサービスに再起動が必要か? ・・・この点に関して、各サービスで再起動の必要有無を確認するほうが難しいので、ひとまずサーバ再起動したほうが無難です。
どのバージョンを当てればよいか。。?こちらは弊社でも確認中のため、追ってご案内する予定です。

 

それでは、海外のサイトに今回の確認方法が載っていたので実際に確かめてみましょう。

 

■脆弱性の確認方法

Openwall にその確認方法が載っています。

・OpenWall
http://www.openwall.com/lists/oss-security/2015/01/27/9

では、さっそくやってみましょう。
テスト環境は、CentOS 6 64bit / glibc 2.12-1.107.el6 です。

 

・テストスクリプトを作成する

 

・作成したスクリプトをgccでコンパイル

 

 

・作成されたファイルを実行

 ※「no vulnerable」と表示されれば問題ないですが、「vulnerable」なので対応が必要と思われます。
ということで、glibcをアップデートします。

 

・ glibcのアップデート

・update後のバージョンを確認

・再度実行

ということで、解消されました。
また、サーバ再起動をすることもお忘れなく。

 

以上、今回はGHOSTに関して確認してみました。

弊社でも現在対応を検討中でございますので、今しばらくお待ちください。

 

 

Share on LinkedIn
LINEで送る
Pocket

uno

uno

cobaltサーバやbluequartz大好き、bash大好きなclaraの中の人です。