Qualys 社は、Linux GNU C ライブラリ(glibc)の新しい脆弱性に関するブログを公開しました。GNU glibc Remote Heap Buffer Overflow Vulnerability(GNU glibcのリモートヒープバッファオーバーフローの脆弱性)(CVE-2015-0235)は、gethostbyname() 関数から呼び出される __nss_hostname_digits_dots() 関数におけるバッファオーバーフローの脆弱性であり、これを悪用すると、認証されていないユーザーが任意のコードを実行することが可能です。この脆弱性は 2000 年 11 月から存在するもので、2013 年 5 月にソースコードで修正されています。しかし、最新の長期サポート安定版の Linux ディストリビューションでは、2015 年 1 月 27 日に主要 Linux ディストリビュータからパッチがリリースされるまで脆弱性が残ったままになっていました。
gethostbyname()
よくあるご質問
Q: なぜ GHOST 脆弱性と呼ばれるのですか。 A: この脆弱性が、gethostbyname() 関数を呼び出すことによって引き起こされるためです。
Q: 脆弱性の影響度とその理由を教えてください。 A: 主要 Linux ディストリビュータは、この脆弱性を深刻だと評価しています。リモートの攻撃者は、この脆弱性を悪用することで、標的のシステムの認証情報を事前に入手していなくても、システムを完全に制御できてしまうためです。脆弱性を含む最初の glibc バージョン(2.2)は 2000 年 11 月にリリースされましたが、セキュリティ上の脅威として認識されていなかったため、長期サポート安定版のディストリビューションでは現在まで脆弱性が残ったままでした。
Q: Heartbleed や Shellshock と比べて GHOST の影響は深刻ですか。 A: GHOST 脆弱性を悪用すると任意のコードを実行できてしまうため、Heartbleed や Shellshock と同じくらい深刻に見えるかもしれませんが、その影響はいくつかの要因によって緩和されるため、見かけほど深刻ではありません。まず、2013 年 5 月に脆弱性は修正されているので、最近のバージョンの Linux オペレーティングシステムは影響を受けません。また、gethostbyname 関数は、すでに廃止されています。最近のアプリケーションは、IPv6 をサポートする getaddrinfo 関数を使用しています。最後に、理論上、gethostbyname 関数を使用するアプリケーションにリスクはあるものの、脆弱性を悪用するにはいくつかの条件が必要なため、成功する可能性は低いと考えられます。これらの要因を踏まえると、実際に脆弱性が悪用される可能性は Heartbleed や Shellshock と比べてかなり低いといえるでしょう。
Q: 脆弱性が存在する glibc のバージョンを教えてください。 A: glibc のバージョン 2.2 から 2.17 に脆弱性が存在します。バージョン 2.18 から 2.20 およびバージョン 2.1.3 以前は影響を受けません。
Q: 標的になる可能性または影響を受ける可能性がある OS プラットフォームを教えてください。 A: 次の OS プラットフォームが影響を受ける可能性があります。
Q: 一般ユーザーや企業ユーザーに影響はありますか。 A: この脆弱性は、RedHat、Debian、CentOS などの主要 Linux オペレーティングシステムに存在するため、一般ユーザーおよび企業ユーザーも影響を受けます。上記のパッチ未適用のオペレーティングシステムが実行されているサーバーやデバイスは、脆弱なままです。
Q: Web ページを参照する、ファイルを開く、電子メールを表示するといった通常のユーザー操作を行うことで脆弱性の影響を受けるのですか。 A: いいえ。Qualys 社によるテストでは、特別に細工された電子メールを電子メールサーバーに送信して、リモートシェルで Linux マシンにアクセスすることにより、脆弱性の悪用に成功しています。
Q: シマンテック製品およびノートン製品(Windows 版/Mac 版/ノートン モバイルセキュリティ)によって、この脅威から保護されますか。 A: この脆弱性を悪用する試みを遮断するための IPS シグネチャを調査中です。
Q: 実際に脆弱性が悪用された事例はありますか。 A: 脆弱性が悪用されているという報告はありません。
Q: 脆弱性に対応するパッチは利用可能ですか。 A: 主要 Linux ディストリビュータは、パッチおよびアドバイザリを 2015 年 1 月 27 日に公開しています。脆弱性に対応するベンダー各社のパッチについては、以下の「参考情報」を参照してください。できるだけ速やかにパッチを適用することをお勧めします。パッチを適用した後は、システムを再起動してください。システムを再起動しない限り、glibc を使用するサービスはパッチ未適用のライブラリを引き続き使用するため、脆弱性が残ってしまいます。
参考情報:
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。