先日明らかにされたセキュリティアラート: CVE-2015-0235
glibc バッファオーバーフロー脆弱性に関する対策実施について
原文はこちら
CVE-2015-0235(英文)
https://access.redhat.com/security/cve/CVE-2015-0235
JVNVU#99234709
glibc ライブラリにバッファオーバーフローの脆弱性
http://jvn.jp/vu/JVNVU99234709/
本件の問題点と対策は以下の通りです。
■glibc の脆弱性問題点要約
glibc ライブラリにバッファオーバーフローの脆弱性(CWE-788)があります。
細工したホスト名を gethostbyname などの関数の引数に渡すことにより、バッファオーバーフローが発生します。
■必要な対策
問題があるのは以下のバージョンです。
・glibc 2.2 から glibc 2.17 まで
当サービスで圧倒的多数である CentOS の場合は、以下で修正済み。
・RedHatLinux/CentOS 6 は glibc-2.12-149.el6 ・RedHatLinux/CentOS 7 は glibc-2.17-55.el7
当サービスのお客様の環境、バージョンを確認し、問題のバージョンであれば修正版へアップデートを実施します。
アップデートの際にサーバーおよびサービスは一切停止しません。
■実施日時
2015年01月30日以降、随時 ~ 1週間以内