サーバーワークス サポート窓口よりお知らせいたします。
報告
glibc の getaddrinfo において
スタックベースオーバーフローの脆弱性が発見されました。
脆弱性の概要
脆弱性の詳細は以下の記事をご覧下さい。
CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow
glibcの複数の脆弱性(CVE-2015-7547,CVE-2015-8776,CVE-2015-8778,CVE-2015-8779)
この脆弱性はgetaddrinfo()中でAF_UNSPECクエリを行っている際の扱いの不具合で、バッファーオーバーフローと任意のコードを実行させられる可能性があります。
この脆弱性はgetaddrinfo()を用いている殆どのアプリケーションに影響します。
影響範囲
影響を受けるシステムは以下の通りです。
Red Hat Enterprise Linux 7
Red Hat Enterprise Linux 6
およびこれらのExtended Update Support、Advanced Mission Critical Update Suport
そのほかUbunut,Debian,SUSE,においてもそれぞれパッチがリリースされております。
glibcおよびeglibcのパッケージをアップデートしてください。
なお、以下の環境は影響を受けません
Red Hat Enterprise Linux 3
Red Hat Enterprise Linux 4
Red Hat Enterprise Linux 5
AWSにおける影響
AWSからの本脆弱性に対するアドバイザリーは以下になります。
AWSのほとんどのシステムでは今回の脆弱性は影響を受けません。
初期状態のEC2インスタンスであればAmazonProvidedDNSを参照しているため問題とはなりません。
EC2インスタンスにおいてオンプレミスのDNSやEC2により独自に建てたDNSサーバを参照しているなどAWS提供以外のDNSを利用するように設定が変更されている場合は影響を受けます。
AWS VPCの設定でDHCPオプションセットを変更されている場合、LinuxサーバでActive Directoryを参照している場合などが該当します。
対応
EC2(Linux)において、AWSが提供するDNS(AmazonProvidedDNS)以外を参照しているインスタンスにおいては本脆弱性に対する対応が必要となります。
glibcの更新においては、影響するアプリケーションが多いため、アップデート後はOSの再起動を行われる事を推奨いたします。
環境設定によってはglibcの更新によりタイムゾーンが変更される場合がありますので、計画的なアップデートを行ってください。
Amazon Linux
Amazon Linuxの場合次のコマンドにて対応が可能です。
$sudo yum clean all $sudo yum update glibc
Red Hat Enterprise Linux
glibcパッケージを更新してください
Ubuntu,Debian
glibcおよびeglibcパッケージを更新してください。
SUSE Linux
glibcおよびnscdおよび、その関連パッケージを更新してください。