glibc ライブラリの脆弱性

no extension

脆弱性の内容

GNU C ライブラリ(glibc)に send_dg() および send_vc() の処理に起因するスタックベースのバッファオーバーフロー脆弱性が存在する。

The glibc DNS client side resolver is vulnerable to a stack-based buffer overflow when the getaddrinfo() library function is used. Software using this function may be exploited with attacker-controlled domain names, attacker-controlled DNS servers, or through a man-in-the-middle attack.
via Google Online Security Blog: CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow

glibc は中核的なライブラリであり,広範囲の製品に影響する可能性がある。 Proof of Concept あり。

影響度(CVSS)

JVNVU#97236594 より

CVSSv3 基本評価値 6.5 (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:L)

基本評価基準 評価値
攻撃元区分(AV) ネットワーク(N)
攻撃条件の複雑さ(AC) 高(H)
必要な特権レベル(PR) 不要(N)
ユーザ関与レベル(UI) 不要(N)
スコープ(S) 変更なし(U)
情報漏えいの可能性(機密性への影響, C) なし(N)
情報改ざんの可能性(完全性への影響, I) 高(H)
業務停止の可能性(可用性への影響, A) 低(L)

CVE-2015-7547 より

CVSSv3 基本評価値 8.1 (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)

基本評価基準 評価値
攻撃元区分(AV) ネットワーク(N)
攻撃条件の複雑さ(AC) 高(H)
必要な特権レベル(PR) 不要(N)
ユーザ関与レベル(UI) 不要(N)
スコープ(S) 変更なし(U)
情報漏えいの可能性(機密性への影響, C) 高(H)
情報改ざんの可能性(完全性への影響, I) 高(H)
業務停止の可能性(可用性への影響, A) 高(H)

CVSS については解説ページを参照のこと。

影響を受ける製品

  • glibc 2.9 ~ 2.22 を含む製品(各ベンダの情報を参照のこと)
    • 主要な Linux ディストリビューションは既に対処済み
    • 各クラウド・サービスに影響する可能性あり
    • Linux 系のスイッチやルータに影響する可能性あり
    • Android では独自のライブラリを使っているため影響なしか?
    • アプリケーションが glibc を static に取り込んでいる場合も要注意

対策・回避策

参考

組織内ネットワークなどの第三者から直接到達不可能なプライベートネットワークにおいては、 同様にリスクとしては限定されると思われます。