glibc ライブラリの脆弱性

脆弱性の内容

GNU C ライブラリ（glibc）に send_dg() および send_vc() の処理に起因するスタックベースのバッファオーバーフロー脆弱性が存在する。

The glibc DNS client side resolver is vulnerable to a stack-based buffer overflow when the getaddrinfo() library function is used. Software using this function may be exploited with attacker-controlled domain names, attacker-controlled DNS servers, or through a man-in-the-middle attack.

via Google Online Security Blog: CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow

glibc は中核的なライブラリであり，広範囲の製品に影響する可能性がある。 Proof of Concept あり。

影響度（CVSS）

JVNVU#97236594 より

CVSSv3 基本評価値 6.5 (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:L)

基本評価基準	評価値
攻撃元区分（AV）	ネットワーク（N）
攻撃条件の複雑さ（AC）	高（H）
必要な特権レベル（PR）	不要（N）
ユーザ関与レベル（UI）	不要（N）
スコープ（S）	変更なし（U）
情報漏えいの可能性（機密性への影響, C）	なし（N）
情報改ざんの可能性（完全性への影響, I）	高（H）
業務停止の可能性（可用性への影響, A）	低（L）

CVE-2015-7547 より

CVSSv3 基本評価値 8.1 (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)

基本評価基準	評価値
攻撃元区分（AV）	ネットワーク（N）
攻撃条件の複雑さ（AC）	高（H）
必要な特権レベル（PR）	不要（N）
ユーザ関与レベル（UI）	不要（N）
スコープ（S）	変更なし（U）
情報漏えいの可能性（機密性への影響, C）	高（H）
情報改ざんの可能性（完全性への影響, I）	高（H）
業務停止の可能性（可用性への影響, A）	高（H）

CVSS については解説ページを参照のこと。

影響を受ける製品

glibc 2.9 ～ 2.22 を含む製品（各ベンダの情報を参照のこと）
- 主要な Linux ディストリビューションは既に対処済み
- 各クラウド・サービスに影響する可能性あり
- Linux 系のスイッチやルータに影響する可能性あり
- Android では独自のライブラリを使っているため影響なしか？
- アプリケーションが glibc を static に取り込んでいる場合も要注意

対策・回避策

パッチが提供されているので適用すること。

参考

組織内ネットワークなどの第三者から直接到達不可能なプライベートネットワークにおいては、同様にリスクとしては限定されると思われます。