現在位置: ホーム / OSSブログ / glibcの重大なセキュリティ問題「GHOST」(CVE-2015-0235)公開

glibcの重大なセキュリティ問題「GHOST」(CVE-2015-0235)公開

2015年1月27日にglibcの重大なセキュリティ問題「GHOST」(CVE-2015-0235)が公開されました。Red Hat社の重大度(Severity)がCritical、SUSEの優先度(Priority)も Mandatory(必須)とランク付けされております。脆弱性対象パッケージをご利用の方は早々のアップデート対応をご検討ください。

glibcにおいて 「__nss_hostname_digits_dots」関数に、バッファオーバーフローの脆弱性が発見されました。この脆弱性は2000年11月10日にリリースされたglibc-2.2以降のバージョンに含まれており、glibc-2.17からglibc-2.18の間に修正が行われました。2000年から現在までのシステムに影響がありますので、影響範囲が非常に広いことが想定されます。

各ディストリビューションからの対応アップデートが公開されておりますので、影響のあるシステムは早急にアップデート頂くことを推奨します。

ディストリビューション毎の対応状況

Red Hat Enterprise Linux

Red Hatからはバージョン5から7までのアップデートパッケージが提供されています。

Red Hat Enterprise Linux5

https://rhn.redhat.com/errata/RHSA-2015-0090.html

Red Hat Enterprise Linux6,7

https://rhn.redhat.com/errata/RHSA-2015-0092.html

SUSE Linux Enterprise

SUSE Linuxからも各バージョンの対応パッケージが公開されています。
既にサポートが終了しているバージョン(SP)ではLTSSの契約が必要となります。

http://support.novell.com/security/cve/CVE-2015-0235.html

Oracle Linux

Oracle LinuxからもSRPMSで公開がされておりますので、Oracle Linux Network の権利をお持ちの方であればアップデートが可能な状態になっているものと考えられます。

Oracle Linux5

https://oss.oracle.com/el5/SRPMS-updates/?C=M;O=D

Oracle Linux6

https://oss.oracle.com/el6/SRPMS-updates/?C=M;O=D

Oracle Linux7

https://oss.oracle.com/ol7/SRPMS-updates/?C=M;O=D

CentOS 

CentOSからもバージョン5から7まで、対応するアップデートパッケージが提供されています。

CentOS7

http://mirror.centos.org/centos/7/updates/x86_64/Packages/?C=M;O=D

CentOS6

http://mirror.centos.org/centos/6/updates/x86_64/Packages/?C=M;O=D

CentOS5

http://mirror.centos.org/centos/5/updates/x86_64/RPMS/?C=M;O=D

Amazon Linux

AmazonLinuxからも下記のパッケージが提供されています。

https://alas.aws.amazon.com/ALAS-2015-473.html

 

サイオス OSSよろず相談室のご契約をお持ちのお客様には脆弱性問題に対するご相談をお受けしている他、脆弱性のレポートサービスや脆弱性調査のサービスなど各種セキュリティーサービスをご用意しております。OSSでお困り事をお抱えの方はぜひ本サービスをご検討ください。

【参考】

http://www.openwall.com/lists/oss-security/2015/01/27/9

Yorozubanner