glibcの脆弱性(CVE-2015-7547)への対応について

昨日2016年2月17日、glibc ライブラリの脆弱性 (CVE-2015-7547)が発見されたということを知りました。

私は、Mac上でvagrantを使ってCentOS6.7を動かしローカル開発環境を作り、その中でウェブサイトの作成を行っています。
しかし、Linuxに関しては全くの初心者です。

glibcというのが標準Cライブラリというものであり、下記サイトによると”標準Cライブラリとは，複数のコマンドやプログラムで繰り返し使われる関数をくくりだして一つにまとめたもの”ということまではわかりました。

いくつかのサイトを調べました（下に挙げます）ところ、「パッチを適用する」「yumを上げる」などの対策が示されていましたが、より具体的にどのような作業をすればよいのか（あるいは無視して良いのか）、わからない状態です。

対応策について、ご教授いただけたら幸いです。
質問で不足している情報がありましたらご連絡ください。

（参考にしたサイト）
https://www.jpcert.or.jp/at/2016/at160009.html
http://qiita.com/kawaz/items/1b07429b28851f997dba
http://itpro.nikkeibp.co.jp/article/Keyword/20070308/264222/
http://www.itmedia.co.jp/enterprise/articles/1602/17/news065.html

行動規範の内容に同意します

回答2件

ベストアンサー

具体的にはglibcのバージョンをアップデートあげることにより、脆弱性の修正をすることができます。
一般的に、セキュリティパッチがリリースされることにより、バージョンがあがるため
「バージョンアップさせる」や「セキュリティパッチをあてる」
と呼ばれます。

次に、具体的に何をすればよいかについてです。
今回の脆弱性は

glibc 2.9 およびそれ以降のバージョン（JPCERT/CCより）

とのことですので、以下のコマンドでバージョンを確認してください。

linux
1rpm -q glibc

コマンドの実行結果において、

linux
1glibc-2.12-1.166.el6_7.7.x86_64

な感じで出てきます。
glibc-の後ろの数字が2.9以降であれば、今回の脆弱性に該当します。

次に、バージョンアップ（セキュリティパッチの適用）を行います。
以下のコマンドを実行してください。

yum update glibc

完了後、glibcのバージョンを確認してください。

CentOSのセキュリティアドバイザリより
(https://lists.centos.org/pipermail/centos-announce/2016-February/021668.html)

glibc-2.12-1.166.el6_7.7

となっていれば、脆弱性が修正されたバージョンとなります。

投稿2016/02/18 10:05

marseille

総合スコア25

begginer

2016/02/18 10:50 編集

丁寧なご回答ありがとうございます。教えていただいたコマンドでglibcのバージョンを調べたところ、 glibc-2.12-1.166.el6_7.3.i686 ということがわかりました。今回の脆弱性に該当すると思います。次に、 sudo yum update glibc を実行したところ、「Loading mirror speeds from cached hostfile * base: www.ftp.ne.jp * epel: ftp.riken.jp * extras: www.ftp.ne.jp * updates: www.ftp.ne.jp 更新と設定されたパッケージがありません。」というメッセージが表示され、バージョンを上げることができていないと思われます。重ねての質問となり恐縮ですが、このような場合の対応についてお教えいただければ幸いです。

marseille

2016/02/18 11:01

以下のコマンドを実行し、アップデートが存在するか確認してください。 yum check-update glibc 更新があれば、表示されます。もし、表示されないのであれば、キャッシュを削除します。 yum clean all その後、もう一度アップデートのチェックを行ってください。ちなみに、自分のアップデートしてない環境だと、以下のような結果になりました。 [root@501st-JFW ~]# rpm -q glibc glibc-2.12-1.166.el6_7.3.x86_64 glibc-2.12-1.166.el6_7.3.i686 [root@501st-JFW ~]# yum check-update glibc 読み込んだプラグイン:fastestmirror Loading mirror speeds from cached hostfile * base: ftp.nara.wide.ad.jp * extras: ftp.nara.wide.ad.jp * updates: ftp.jaist.ac.jp base | 3.7 kB 00:00 extras | 3.4 kB 00:00 updates | 3.4 kB 00:00 updates/primary_db | 3.9 MB 00:01 glibc.i686 2.12-1.166.el6_7.7 updates glibc.x86_64 2.12-1.166.el6_7.7 updates

begginer

2016/02/19 01:33

コメントありがとうございます。コメントの通り、 sudo yum clean all でキャッシュを削除したのち、 sudo yum update glibc で更新を行うことができました（glibc-2.12-1.166.el6_7.7.i686になりました）。わかりやすくご回答いただき、問題が解決できたためベストアンサーにさせていただきます。ありがとうございます。

行動規範の内容に同意します