Endpoint Protection

Qualys 社は、Linux GNU C ライブラリ（glibc）の新しい脆弱性に関するブログを公開しました。GNU glibc Remote Heap Buffer Overflow Vulnerability（GNU glibcのリモートヒープバッファオーバーフローの脆弱性）（CVE-2015-0235）は、gethostbyname() 関数から呼び出される __nss_hostname_digits_dots() 関数におけるバッファオーバーフローの脆弱性であり、これを悪用すると、認証されていないユーザーが任意のコードを実行することが可能です。この脆弱性は 2000 年 11 月から存在するもので、2013 年 5 月にソースコードで修正されています。しかし、最新の長期サポート安定版の Linux ディストリビューションでは、2015 年 1 月 27 日に主要 Linux ディストリビュータからパッチがリリースされるまで脆弱性が残ったままになっていました。

よくあるご質問

Q: なぜ GHOST 脆弱性と呼ばれるのですか。
A: この脆弱性が、gethostbyname() 関数を呼び出すことによって引き起こされるためです。

Q: 脆弱性の影響度とその理由を教えてください。
A: 主要 Linux ディストリビュータは、この脆弱性を深刻だと評価しています。リモートの攻撃者は、この脆弱性を悪用することで、標的のシステムの認証情報を事前に入手していなくても、システムを完全に制御できてしまうためです。脆弱性を含む最初の glibc バージョン（2.2）は 2000 年 11 月にリリースされましたが、セキュリティ上の脅威として認識されていなかったため、長期サポート安定版のディストリビューションでは現在まで脆弱性が残ったままでした。

Q: Heartbleed や Shellshock と比べて GHOST の影響は深刻ですか。
A: GHOST 脆弱性を悪用すると任意のコードを実行できてしまうため、Heartbleed や Shellshock と同じくらい深刻に見えるかもしれませんが、その影響はいくつかの要因によって緩和されるため、見かけほど深刻ではありません。まず、2013 年 5 月に脆弱性は修正されているので、最近のバージョンの Linux オペレーティングシステムは影響を受けません。また、gethostbyname 関数は、すでに廃止されています。最近のアプリケーションは、IPv6 をサポートする getaddrinfo 関数を使用しています。最後に、理論上、gethostbyname 関数を使用するアプリケーションにリスクはあるものの、脆弱性を悪用するにはいくつかの条件が必要なため、成功する可能性は低いと考えられます。これらの要因を踏まえると、実際に脆弱性が悪用される可能性は Heartbleed や Shellshock と比べてかなり低いといえるでしょう。

Q: 脆弱性が存在する glibc のバージョンを教えてください。
A: glibc のバージョン 2.2 から 2.17 に脆弱性が存在します。バージョン 2.18 から 2.20 およびバージョン 2.1.3 以前は影響を受けません。

Q: 標的になる可能性または影響を受ける可能性がある OS プラットフォームを教えてください。
A: 次の OS プラットフォームが影響を受ける可能性があります。

• Ubuntu Ubuntu Linux 12.04 LTS i386
• Ubuntu Ubuntu Linux 12.04 LTS amd64
• Ubuntu Ubuntu Linux 10.04 sparc
• Ubuntu Ubuntu Linux 10.04 powerpc
• Ubuntu Ubuntu Linux 10.04 i386
• Ubuntu Ubuntu Linux 10.04 ARM
• Ubuntu Ubuntu Linux 10.04 amd64
• Red Hat Enterprise Linux Desktop 5 client
• Red Hat Enterprise Linux 5 Server
• GNU glibc 2.2
  • S.u.S.E. Linux 7.1 x86
  • S.u.S.E. Linux 7.1 sparc
  • S.u.S.E. Linux 7.1 ppc
  • S.u.S.E. Linux 7.1 alpha
  • S.u.S.E. Linux 7.1
  • Wirex Immunix OS 7+
• Debian Linux 6.0 sparc
• Debian Linux 6.0 s/390
• Debian Linux 6.0 powerpc
• Debian Linux 6.0 mips
• Debian Linux 6.0 ia-64
• Debian Linux 6.0 ia-32
• Debian Linux 6.0 arm
• Debian Linux 6.0 amd64

Q: 一般ユーザーや企業ユーザーに影響はありますか。
A: この脆弱性は、RedHat、Debian、CentOS などの主要 Linux オペレーティングシステムに存在するため、一般ユーザーおよび企業ユーザーも影響を受けます。上記のパッチ未適用のオペレーティングシステムが実行されているサーバーやデバイスは、脆弱なままです。

Q: Web ページを参照する、ファイルを開く、電子メールを表示するといった通常のユーザー操作を行うことで脆弱性の影響を受けるのですか。
A: いいえ。Qualys 社によるテストでは、特別に細工された電子メールを電子メールサーバーに送信して、リモートシェルで Linux マシンにアクセスすることにより、脆弱性の悪用に成功しています。

Q: シマンテック製品およびノートン製品（Windows 版/Mac 版/ノートン モバイルセキュリティ）によって、この脅威から保護されますか。
A: この脆弱性を悪用する試みを遮断するための IPS シグネチャを調査中です。

Q: 実際に脆弱性が悪用された事例はありますか。
A: 脆弱性が悪用されているという報告はありません。

Q: 脆弱性に対応するパッチは利用可能ですか。
A: 主要 Linux ディストリビュータは、パッチおよびアドバイザリを 2015 年 1 月 27 日に公開しています。脆弱性に対応するベンダー各社のパッチについては、以下の「参考情報」を参照してください。できるだけ速やかにパッチを適用することをお勧めします。パッチを適用した後は、システムを再起動してください。システムを再起動しない限り、glibc を使用するサービスはパッチ未適用のライブラリを引き続き使用するため、脆弱性が残ってしまいます。

参考情報:

• Qualys Advisory: https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt
• Security Focus: http://www.securityfocus.com/bid/72325/info
• RedHat: https://rhn.redhat.com/errata/RHSA-2015-0090.html
• Ubuntu: https://launchpad.net/ubuntu/+source/eglibc
• Debian: https://security-tracker.debian.org/tracker/CVE-2015-0235
• Mitre: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0235

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。