質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

Apache

Apacheは、Apache HTTP Serverの略で、最も人気の高いWebサーバソフトウェアの一つです。安定性が高いオープンソースソフトウェアとして商用サイトから自宅サーバまで、多くのプラットフォーム向けに開発・配布されています。サーバーソフトウェアの不具合(NCSA httpd)を修正するパッチ(a patch)を集積、一つ独立したソフトウェアとして開発されました。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

Q&A

解決済

2回答

2267閲覧

【脆弱性】【CVE-2015-7547】glibc ライブラリの脆弱性対象について

dakahii

総合スコア24

CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

Apache

Apacheは、Apache HTTP Serverの略で、最も人気の高いWebサーバソフトウェアの一つです。安定性が高いオープンソースソフトウェアとして商用サイトから自宅サーバまで、多くのプラットフォーム向けに開発・配布されています。サーバーソフトウェアの不具合(NCSA httpd)を修正するパッチ(a patch)を集積、一つ独立したソフトウェアとして開発されました。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

0グッド

0クリップ

投稿2016/03/04 11:46

巷で話題になっているglibcの脆弱性についてです。

■JVNDB-2016-001419 glibc にバッファオーバーフローの脆弱性
http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001419.html

■重大なセキュリティー欠陥: getaddrinfo() での glibc スタックベースのバッファーオーバーフロー (CVE-2015-7547)
https://access.redhat.com/ja/articles/2170311

上記は、該当ライブラリを利用している全てのシステムが影響を受けるとの概要ですが、
前提として対象システム(サーバ)が悪意あるDNSクエリに応答することが必要であるように見受けられます。

現在私は某VPSサービスでCentOS6+Apache2.2+Wordpressを使いWebサーバを稼動させていますが、
本脆弱性の影響を受ける可能性のあるシステムとはどの様なシステムになるのでしょうか。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

ベストアンサー

対象システム(サーバ)が悪意あるDNSクエリに応答することが必要であるように見受けられます。

逆だと思います。
対象システム(DNSクライアント)が悪意ある DNSサーバーにクエリを送り、細工されたレスポンスを受け取る場合に影響があります。
Wordpress に悪意あるドメインのメールアドレスを登録し、メールを送信する際に getaddrinfo() で名前解決する、などのケースが考えられます。

/etc/resolv.conf で nameserver に指定している DNSキャッシュサーバーが信頼できるものであれば、悪意ある DNSサーバーからレスポンスを受け取っても、そのまま DNSクライアントに返さずに無害化して返すことが期待できます。

例えば、下記環境の場合、DNSキャッシュサーバーからの応答は ServFail で、DNSクライアントは「getaddrinfo: Temporary failure in name resolution」で正常終了しました。
/etc/resolv.conf で直接、悪意あるDNSサーバーを参照した場合は「Segmentation fault」で異常終了。

悪意あるDNSサーバー : 検証コードの CVE-2015-7547-poc.py DNSキャッシュサーバー : bind-9.8.2 DNSクライアント : 脆弱性のある glibc + 検証コードの CVE-2015-7547-client

検証コード

ただし、すべてのケースで無害化できるとは限らないので、glibc をアップデートした方がいいと思います。

投稿2016/03/04 16:02

TaichiYanagiya

総合スコア12141

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

dakahii

2016/03/08 12:48

返信遅れました。ご回答ありがとうございます。 自分なりに調査しましたが、信頼されたDNSキャッシュサーバ&通信経路の場合は、 本脆弱性を回避できるものの、外部公開されているWebサーバは他の攻撃手段を併用されることで必ずしも安全とは言い切れない状況になるようです。 https://sect.iij.ad.jp/d/2016/02/197129.html #ページ最下部 まとめ 現在の環境はホスティング業者のDNSサーバが最新のBindを使用しており、既定値なら512バイト以上のデータは制限されているはずなので、バッファオーバーフローを発生させる2048バイト以上のTCP/UDPデータは送出されないと思われます。 ただし、前述の通り安全と言い切れない部分があり、また回避策も無いので、アップデートを適用する方向で検討していきたいと思います。 #OS再起動は出来そうにないので対象プロセスを一つずつ再起動になりますが。。
guest

0

glibcでgetaddrinfo()を使ってるのは全部が該当するんじゃないですかね。
かなり広範囲かと。

getaddrinfo()はここにざっくり載ってます。
http://d.hatena.ne.jp/mozxxx/20110528/p1

投稿2016/03/04 12:02

編集2016/03/04 12:04
ogaaaan

総合スコア765

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

dakahii

2016/03/08 12:49

ご回答ありがとうございます。 相当広範囲のシステムが該当するようですね。 アップデートする方向で検討したいと思います。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問