ニュース

Linuxの「glibc」ライブラリに脆弱性で修正パッチ配布、iOS/Androidでの被害は限定的か

 Linuxで利用されているGNU Cライブラリ(glibc)に、深刻な脆弱性(CVE-2015-7547)が発見され、JPCERT/CCやSANS ISCなどが注意喚起を行っている。

Google Online Security Blogの該当記事。今回の脆弱性は、GoogleのスタッフとRed Hatのスタッフが発見した

 この脆弱性は、ほぼすべてのLinuxシステムでIPアドレスの名前解決に使用しているglibcのライブラリ関数「getaddrinfo()」に、スタックベースのバッファオーバーフローの脆弱性が存在するというもの。同ライブラリを使用しているソフトウェアでは、悪意のあるDNSサーバーと通信した場合や、中間者攻撃を介することで、リモートで悪意のあるコードを実行される可能性があるとしている。

 影響を受けるLinuxのディストリビューションとしては、Red Hat Enterprise Linux Server 7/6、Debian 8/7/6、Ubuntu 15.10/14.04LTS/12.04LTSなどが確認されており、それぞれの開発元が脆弱性を修正するパッチを公開している。

 米Sans Instituteによると、脆弱性は2048バイト以上のUDP/TCPの応答によって引き起こされるため、すぐにパッチを適用できない場合は、「DNSMasq」などのツールを使用してDNSリゾルバーが受け入れるUDPの応答サイズを制限するように推奨している。また、Androidでは標準で「Bionic libc」ライブラリを使用しており、OSXやiOSもglibcは使用していないが、アプリ次第では影響が出るとしている。

(山川 晶之)