JVNDB-2015-001251
|
glibc ライブラリにバッファオーバーフローの脆弱性
|
|
glibc ライブラリにはバッファオーバーフローの脆弱性があります。
glibc ライブラリにはバッファオーバーフローの脆弱性 (CWE-788) があります。細工したホスト名を gethostbyname などの関数の引数に渡すことにより、バッファオーバーフローが発生します。
CWE-788: Access of Memory Location After End of Buffer
http://cwe.mitre.org/data/definitions/788.html
なお、National Vulnerability Database (NVD) では、CWE-119 として公開されています。
CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer
http://cwe.mitre.org/data/definitions/119.html
|
|
CVSS v2 による深刻度
基本値: 10.0 (危険) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
|
GNU Project
- GNU C Library (glibc) 2.2 から 2.17 まで
アップル
- Apple Mac OS X 10.10 から 10.10.3 (HT204942)
- Apple Mac OS X 10.10.5 (HT205375)
- Apple Mac OS X 10.11 (HT205375)
- Apple Mac OS X 10.6.8 以上 10.11 未満 (HT205267)
- Apple Mac OS X 10.9.5 (HT204942/HT205375)
オラクル
- Oracle Communications Applications の Oracle Communications Session Border Controller 7.2.0m4 未満
- Oracle Communications Applications の Oracle Communications LSMS 13.1
- Oracle Communications Applications の Oracle Communications EAGLE LNP Application Processor 10.0
- Oracle Communications Applications の Oracle Communications EAGLE Application Processor 16.0
- Oracle Communications Policy Management 10.4.1
- Oracle Communications Policy Management 12.1.1 およびそれ以前
- Oracle Communications Policy Management 9.7.3
- Oracle Communications Policy Management 9.9.1
- Oracle Fusion Middleware の Oracle Exalogic Infrastructure 1.x
- Oracle Fusion Middleware の Oracle Exalogic Infrastructure 2.x
- Oracle Sun Systems Products Suite の Cisco MDS Fiber Channel Switch 5.2
- Oracle Sun Systems Products Suite の Cisco MDS Fiber Channel Switch 6.2
- Oracle Sun Systems Products Suite の Sun Data Center InfiniBand Switch 36 2.2.2 未満
- Oracle Sun Systems Products Suite の Sun Network QDR InfiniBand Gateway Switch 2.2.2 未満
- XCP 1120 未満 (SPARC Enterprise M3000/M4000/M5000/M8000/M9000 サーバ)
- XCP 2260 未満 (Fujitsu M10-1/M10-4/M10-4S サーバ)
- Integrated Lights Out Manager (Sun System Firmware) 8.7.2.b 未満
- Integrated Lights Out Manager (Sun System Firmware) 9.4.2e 未満
- Oracle Ethernet Switch ES2-64 1.9.1.2 未満
- Oracle Ethernet Switch ES2-72 1.9.1.2 未満
- Oracle FS1-2 Flash Storage System 6.1
- Oracle FS1-2 Flash Storage System 6.2
- Oracle FS1-2 Flash Storage System 6.3
- Oracle Switch ES1-24 1.3.1 未満
- SPARC Enterprise M3000 サーバ
- SPARC Enterprise M4000 サーバ
- SPARC Enterprise M5000 サーバ
- SPARC Enterprise M8000 サーバ
- SPARC Enterprise M9000 サーバ
- Sun Blade 6000 Ethernet Switched NEM 24P 10GE 1.2.2 未満
- Sun Network 10GE Switch 72P 1.2.2 未満
サイバートラスト株式会社
- Asianux Server 4 for x86 (32bit)
- Asianux Server 4 for x86_64 (64bit)
ヒューレット・パッカード
- HP Operations Analytics 2.0
- HP Operations Analytics 2.1
- HP Operations Analytics 2.2
日本電気
- EnterpriseIdentityManager Linux版の全バージョン
- SecureBranch 3.2.x
- SecureBranch 中継サーバ 3.2.x
日立
- UPS管理ソフトウエア PowerChute Network Shutdown Virtualization v3.2
|
本脆弱性の影響を受ける日本電気製品の詳細については、ベンダ情報 NV15-007 をご確認ください。
本脆弱性の影響を受ける日立製品の詳細については、ベンダ情報 サーバ・クライアント製品セキュリティ情報 をご確認ください。
|
|
遠隔の第三者によって、任意のコードを実行されたりサービス運用妨害 (DoS) 攻撃が行われたりするなどの可能性があります。
|
|
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
glibc の開発元では、バージョン 2.18 で修正されています。また、Linux ディストリビューションによっては、影響を受けるバージョンの glibc に対して対策を行ったパッケージを提供している場合があります。詳細は、各ディストリビューションが提供する情報を参照してください。
|
|
Canonical
Debian
GNU Project
IBM
アップル
アライドテレシス
ウェブセンス
オラクル
サイバートラスト株式会社
シスコシステムズ
ジュニパーネットワークス
ソフォス
ターボリナックス
バッファロー
ヒューレット・パッカード
ブルーコートシステムズ
- Security Advisories : SA90
マカフィー
レッドハット
日本電気
日立
|
|
- その他(CWE-Other) [IPA評価]
|
|
- CVE-2015-0235
|
|
- JVN : JVNVU#99234709
- JVN : JVNVU#97220341
- JVN : JVNVU#92655282
- National Vulnerability Database (NVD) : CVE-2015-0235
- IPA 重要なセキュリティ情報 : glibc の脆弱性対策について(CVE-2015-0235)
- US-CERT Vulnerability Note : VU#967332
- 関連文書 : Qualys Security Advisory CVE-2015-0235
- 関連文書 : 株式会社アラタナ の告知ページ (Linux glibcの脆弱性(通称 : Ghost)への弊社対応状況について)
- 関連文書 : All iDirect Posted Common Vulnerabilities and Exposures
|
|
- [2015年01月29日]
掲載
[2015年01月30日]
概要:内容を更新
CVSS による深刻度:内容を更新
CWE による脆弱性タイプ一覧:CWE-ID を追加
参考情報:関連文書 (株式会社アラタナ の告知ページ (Linux glibcの脆弱性(通称 : Ghost)への弊社対応状況について)) を追加
[2015年02月02日]
ベンダ情報:ミラクル・リナックス (glibc (GHOST) の脆弱性 (CVE-2015-0235)) を追加
[2015年02月16日]
ベンダ情報:ブルーコートシステムズ (SA90) を追加
ベンダ情報:IBM (1695860) を追加
ベンダ情報:IBM (1695835) を追加
ベンダ情報:シスコシステムズ (cisco-sa-20150128-ghost) を追加
[2015年03月03日]
ベンダ情報:IBM (1696243) を追加
ベンダ情報:IBM (1696526) を追加
ベンダ情報:IBM (1696600) を追加
ベンダ情報:IBM (1696602) を追加
ベンダ情報:IBM (1696618) を追加
[2015年03月11日]
ベンダ情報:アライドテレシス (アライドテレシス株式会社からの情報) を追加
[2015年03月20日]
ベンダ情報:レッドハット (RHSA-2015:0126) を追加
[2015年03月25日]
ベンダ情報:ターボリナックス (TLSA-2015-3) を追加
[2015年04月09日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:ソフォス (Sophos products and the GHOST vulnerability affecting Linux) を追加
ベンダ情報:ソフォス (121879) を追加
ベンダ情報:オラクル (ELSA-2015-0090) を追加
ベンダ情報:オラクル (ELSA-2015-0092) を追加
ベンダ情報:ヒューレット・パッカード (HPSBHF03289 SSRT101953) を追加
ベンダ情報:ヒューレット・パッカード (HPSBGN03270 SSRT101937) を追加
ベンダ情報:ウェブセンス (Vulnerabilities resolved in TRITON APX Version 8.0) を追加
ベンダ情報:ジュニパーネットワークス (JSA10671) を追加
ベンダ情報:マカフィー (SB10100) を追加
参考情報:関連文書 (All iDirect Posted Common Vulnerabilities and Exposures) を追加
[2015年04月17日]
ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - April 2015) を追加
ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - April 2015 Risk Matrices) を追加
ベンダ情報:オラクル (April 2015 Critical Patch Update Released) を追加
[2015年04月20日]
影響を受けるシステム:内容を更新
[2015年06月26日]
ベンダ情報:バッファロー (株式会社バッファロー の告知ページ) を追加
[2015年07月07日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:アップル (HT204942) を追加
ベンダ情報:アップル (APPLE-SA-2015-06-30-2 OS X Yosemite v10.10.4 and Security Update 2015-005) を追加
[2015年07月29日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:日本電気 (NV15-007) を追加
ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2015) を追加
ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2015 Risk Matrices) を追加
ベンダ情報:オラクル (July 2015 Critical Patch Update Released) を追加
[2015年10月06日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:アップル (HT205267) を追加
ベンダ情報:アップル (APPLE-SA-2015-09-30-3 OS X El Capitan 10.11) を追加
参考情報:JVN (JVNVU#97220341) を追加
[2015年10月23日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2015) を追加
ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2015 Risk Matrices) を追加
ベンダ情報:オラクル (October 2015 Critical Patch Update Released) を追加
[2015年10月27日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:アップル (HT205375) を追加
ベンダ情報:アップル (APPLE-SA-2015-10-21-4 OS X El Capitan 10.11.1 and Security Update 2015-007) を追加
参考情報:JVN (JVNVU#92655282) を追加
[2015年12月25日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:日立 (サーバ・クライアント製品 glibc(GNU C Library)の脆弱性((CVE-2015-0235) 通称GHOST)による影響について) を追加
[2016年01月28日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - January 2016) を追加
ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices) を追加
ベンダ情報:オラクル (January 2016 Critical Patch Update Released) を追加
[2016年07月27日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2016) を追加
ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2016 Risk Matrices) を追加
ベンダ情報:オラクル (July 2016 Critical Patch Update Released) を追加
[2016年11月22日]
影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2016) を追加
ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2016 Risk Matrices) を追加
ベンダ情報:オラクル (October 2016 Critical Patch Update Released) を追加
|
