2015年1月27日(現地時間) Qualysはglibc(GNU C Library)に脆弱性を発見し、情報を公開しました。ここでは関連情報をまとめます。(暫定まとめなので精度低め、網羅性無しです。。)
(1) 脆弱性関連情報
注意喚起
脆弱性の概要
- glibcの__nss_hostname_digits_dots() にヒープバッファオーバーフローの脆弱性。
- 当該関数はglibcのgethostbyname()とgethostbyname2()から呼ばれている。
- アプリケーションによっては、DoS、またはリモートから任意のコードが実行可能となる可能性がある。
CVSS
- 6.8 (RHELだとCritical)
脆弱性の愛称
- GHOST(ゴーストと発音)
- アイコンあり(赤いお化け) → アイコンに対するツッコミ
- 脆弱性が確認された「gethostbyname()」関数に由来。
発見者
- Qualys
(2) タイムライン
| 日時 | 出来事 |
|---|---|
| 2000年11月10日 | CVE-2015-0235の影響を受ける最初期バージョン glibc 2.2がリリース |
| 2013年5月21日 | glibcのバッファオーバーフローの修正パッチが公開 |
| 2013年8月12日 | glibc 2.18がリリース |
| 2015年1月27日 | Qualysがglibcの脆弱性情報 CVE-2015-0235を公開。 |
(3) 対策
- ベンダから公開されたパッチ適用後、再起動を行う。
(4) 影響対象
各ディストリビュータの情報
- GHOST対応はパッチが適用されているケースが多く、修正バージョンについてはベンダ情報を参照すること。
| ディストリ | 影響有無 | 対象バージョン・脆弱性関連情報 | 修正バージョン |
|---|---|---|---|
| Redhat | 影響あり | GHOST glibc vulnerability (CVE-2015-0235) RHSA-2015:0090-1 RHSA-2015:0092-1 RHEL 4 RHEL 5 RHEL 6 RHEL 7 |
RHEL 5 (glibc-2.5-123.el5_11.1) RHEL 6 (glibc-2.12-1.149.el6_6.5) RHEL 7 (glibc-2.17-55.el7_0.5) |
| debian | 影響あり | DSA-3142-1 squeeze squeeze(lts) wheezy |
squeeze (eglibc 2.11.3-4+deb6u4) wheezy (eglibc 2.13-38+deb7u7) |
| CentOS | 影響あり | CentOS 4 CentOS 5 CentOS 6 CentOS 7 |
CentOS 5 (glibc-2.5-123.el5_11.1) CentOS 6 (glibc-2.12-1.149.el6_6.5) CentOS 7 (glibc-2.17-55.el7_0.5) |
| Ubuntu | 影響あり | CVE-2015-0235 aka GHOST USN-2485-1 Ubuntu 10.04 LTS Ubuntu 12.04 LTS |
Ubuntu 10.04 LTS (eglibc 2.11.1-0ubuntu7.20) Ubuntu 12.04 (eglibc 2.15-0ubuntu10.10) |
| AWS/Amazon Linux | 影響あり | CVE-2015-0235 Advisory (Ghost) ALAS-2015-473 |
Amazon Linux (glibc-static-2.17-55.93.amzn1) |
| SUSE Linux | 影響あり | Bug 913646 SUSE Linux Enterprise 11以前のバージョン |
SUSE Linux 11 SP3 (glibc-2.11.3-17.74.13) SUSE Linux 11 SP2 LTSS (glibc-2.11.3-17.45.55.5) SUSE Linux 11 SP1 LTSS (glibc-2.11.1-0.60.1) SUSE Linux 10 SP4 LTSS (glibc-2.4-31.113.3) |
| Fedora | 影響ありの模様 | Fedora19 以前 | − |
| Oracle Linux | 影響ありの模様 | Oracle Linux 5 Oracle Linux 6 Oracle Linux 7 |
Oracle Linux 5 (glibc-2.5-123.0.1.el5_11.1) Oracle Linux 6 (glibc-2.12-1.149.el6_6.5) Oracle Linux 7 (glibc-2.17-55.0.4.el7_0.5) |
| Slax | 影響あり | glibc 2.15 | − |
| Knoppix | 影響あり | Knoppix 7.2以前 | − |
| Arch Linux | 影響無しの模様 | − | glibc 2.20-6を使用 |
| Gentoo Linux | 影響無し | − | glibc 2.19-rc1を使用 |
| Android | 影響無し | − | glibcではなくBionic libcを使用 |
その他 影響を受ける製品・ソフトウェア
| 製品名 | 関連情報 |
|---|---|
| PHP | コンソール上での実行ですが、Webからの呼び出しでもPHPがクラッシュします |
| clockdiff | |
| procmail | comsat/biff機能を介して影響を受ける可能性 |
| pppd | SUIDでroot指定されていた場合影響を受ける可能性 |
| Exim Mail Server | Exim vector for glibc vulnerability 以下オプションのいずれかを設定している場合に影響を受ける helo_verify_hosts helo_try_verify_hosts |
| Brocade Vyatta | Brocade Vyatta 5400 vRouter 6.7R5以前のバージョン |
(5) 確認方法
glibc に関連したソフトウェアの検索コマンド
$ lsof | grep libc | awk '{print $1}' | sort | uniq
http://ma.ttias.be/critical-glibc-update-cve-2015-0235-gethostbyname-calls/
オフラインでの確認方法
- 確認用プログラムを作成し、実行する。
- 確認用プログラムのソースはQualysのアドバイザリに掲載あり。
オンラインでの確認方法
#!/bin/bash
cd /tmp
https://raw.githubusercontent.com/mholzinger/CVE-2015-0235_GHOST/master/build.sh
curl -sko ghost.c https://raw.githubusercontent.com/mholzinger/CVE-2015-0235_GHOST/master/ghost.c
gcc ghost.c -o ghost
./ghost
この前にツイートしたglibcの脆弱性(CVE-2015-0235)が存在するホスト上でチェックコードを実行してみましたよ。 pic.twitter.com/9JysMXNOOz
— (つ∀`)じ (ノ∀`) ブヒロ (@ntsuji) 2015, 1月 28GHOST対応を行ったサービス(一部推測含む)
GHOSTを取り上げたマスメディアの報道記事
- 日本経済新聞 2015年1月28日 リナックスに脆弱性 システム乗っ取られる恐れ(魚拓)
セキュリティ関連組織の関連情報・GHOSTの脅威分析
| ベンダ・組織 | 評価 | 関連情報 |
|---|---|---|
| Rapid7 | "It’s also not another Heartbleed." | GHOST in the Machine – Is CVE-2015-0235 another Heartbleed? |
| SANS | "Apply this update as soon as you see patched offered by your Linux/Unix distribution" | New Critical GLibc Vulnerability CVE-2015-0235 (aka GHOST) |
| TrendMicro | "「GHOST」を狙った実際の攻撃による危険性は、「Shellshock」や「Heartbleed」などの脆弱性と比較すると低い" | Linuxに存在する脆弱性「GHOST」、システム管理者は落ち着いて対処を |
| Sucuri | "Update as soon as possible!" | Critical “GHOST” Vulnerability Released |
| IMPERVA | "there is no known exploitation vector for most popular applications" | CVE-2015-0235 - GHOST |
| Cisco | "GHOST Not as Scary as it Seems" | CVE-2015-0235: A GHOST in the Machine |
| Symantec | "GHOST is not as serious as it appears because a number of factors mitigate its impact" | Linux GHOST vulnerability (CVE-2015-0235) is not as scary as it looks |
| IPA | "至急、修正パッチを当ててほしい" | 日経記事より |
その他関連情報
謝辞
このまとめは次の方から頂いた情報を元に修正、追記を行っています。ありがとうございます。
- @kitagawa_takujiさん
- @vulcainさん
