ニュース

Linuxに広く影響するglibcの脆弱性「GHOST」が発見される、最新版へのアップデートを

 セキュリティ企業の米Qualysは27日、Linuxで広く利用されているGNU Cライブラリ(glibc)にバッファオーバーフローの脆弱性が存在するとして、情報を公開した。脆弱性は、Debian GNU/Linux、Red Hat Enterprise Linux、CentOS、Ubuntuなど多数のディストリビューションに影響がある。

 Qualysが「GHOST」と命名したこの脆弱性は、glibcの「__nss_hostname_digits_dots()」関数に存在するもので、「gethostbyname()」「gethostbyname2()」などの関数から呼び出されている。攻撃者は、細工したホスト名をこれらの関数の引数に渡すことにより、バッファオーバーフローを発生させることが可能になる。これにより、遠隔の第三者によって、任意のコードを実行されたり、DoS攻撃が行われたりするなどの可能性がある。

 Qualysによると、この脆弱性は2000年11月にリリースされたglibc 2.2の段階で存在し、2013年5月(glibc 2.17と2.18の間)に修正されている。しかし、この時点ではセキュリティ問題とは認識されていなかったことから、Debian 7(wheezy)、Red Hat Enterprise Linux 6および7、CentOS 6および7、Ubuntu 12.04などの安定的な長期サポートのLinuxディストリビューションには脆弱性が残ったままになっていたという。

 各ディストリビューションでは脆弱性への対応を進めており、JPCERT/CCでは開発者が提供する情報をもとに、最新版へのアップデートを行うよう呼び掛けている。

(三柳 英樹)