【活用ガイド】

JVNDB-2015-001251

glibc ライブラリにバッファオーバーフローの脆弱性

概要

glibc ライブラリにはバッファオーバーフローの脆弱性があります。

glibc ライブラリにはバッファオーバーフローの脆弱性 (CWE-788) があります。細工したホスト名を gethostbyname などの関数の引数に渡すことにより、バッファオーバーフローが発生します。

CWE-788: Access of Memory Location After End of Buffer
http://cwe.mitre.org/data/definitions/788.html

なお、National Vulnerability Database (NVD) では、CWE-119 として公開されています。

CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer
http://cwe.mitre.org/data/definitions/119.html
CVSS による深刻度 (CVSS とは?)

基本値: 10.0 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的

影響を受けるシステム


GNU Project
  • GNU C Library (glibc) 2.2 から 2.17 まで
アップル
  • Apple Mac OS X 10.10 から 10.10.3 (HT204942)
  • Apple Mac OS X 10.10.5 (HT205375)
  • Apple Mac OS X 10.11 (HT205375)
  • Apple Mac OS X 10.6.8 以上 10.11 未満 (HT205267)
  • Apple Mac OS X 10.9.5 (HT204942/HT205375)
オラクル
  • Oracle Communications Applications の Oracle Communications Session Border Controller 7.2.0m4 未満
  • Oracle Communications Applications の Oracle Communications LSMS 13.1
  • Oracle Communications Applications の Oracle Communications EAGLE LNP Application Processor 10.0
  • Oracle Fusion Middleware の Oracle Exalogic Infrastructure 1.x
  • Oracle Fusion Middleware の Oracle Exalogic Infrastructure 2.x
  • Oracle Sun Systems Products Suite の Cisco MDS Fiber Channel Switch 5.2
  • Oracle Sun Systems Products Suite の Cisco MDS Fiber Channel Switch 6.2
  • XCP 1120 未満 (SPARC Enterprise M3000/M4000/M5000/M8000/M9000 サーバ)
  • XCP 2260 未満 (Fujitsu M10-1/M10-4/M10-4S サーバ)
  • Integrated Lights Out Manager ファームウェア (Sun System Firmware) 8.7.2.b 未満
  • Integrated Lights Out Manager ファームウェア (Sun System Firmware) 9.4.2e 未満
  • Oracle Ethernet Switch ES2-64 1.9.1.2 未満
  • Oracle Ethernet Switch ES2-72 1.9.1.2 未満
  • Oracle FS1-2 Flash Storage System 6.1
  • Oracle FS1-2 Flash Storage System 6.2
  • Oracle FS1-2 Flash Storage System 6.3
  • Oracle Switch ES1-24 1.3.1 未満
  • SPARC Enterprise M3000 サーバ
  • SPARC Enterprise M4000 サーバ
  • SPARC Enterprise M5000 サーバ
  • SPARC Enterprise M8000 サーバ
  • SPARC Enterprise M9000 サーバ
  • Sun Blade 6000 Ethernet Switched NEM 24P 10GE 1.2.2 未満
  • Sun Network 10GE Switch 72P 1.2.2 未満
ヒューレット・パッカード
  • HP Operations Analytics 2.0
  • HP Operations Analytics 2.1
  • HP Operations Analytics 2.2
ミラクル・リナックス
  • Asianux Server 4 for x86 (32bit)
  • Asianux Server 4 for x86_64 (64bit)
日本電気
  • EnterpriseIdentityManager Linux版の全バージョン
  • SecureBranch 3.2.x
  • SecureBranch 中継サーバ 3.2.x
日立
  • UPS管理ソフトウエア PowerChute Network Shutdown Virtualization v3.2

本脆弱性の影響を受ける日本電気製品の詳細については、ベンダ情報 NV15-007 をご確認ください。
本脆弱性の影響を受ける日立製品の詳細については、ベンダ情報 サーバ・クライアント製品セキュリティ情報 をご確認ください。
想定される影響

遠隔の第三者によって、任意のコードを実行されたりサービス運用妨害 (DoS) 攻撃が行われたりするなどの可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。

glibc の開発元では、バージョン 2.18 で修正されています。また、Linux ディストリビューションによっては、影響を受けるバージョンの glibc に対して対策を行ったパッケージを提供している場合があります。詳細は、各ディストリビューションが提供する情報を参照してください。
ベンダ情報

Debian GNU Project IBM Ubuntu アップル アライドテレシス ウェブセンス オラクル シスコシステムズ ジュニパーネットワークス ソフォス ターボリナックス バッファロー ヒューレット・パッカード ブルーコートシステムズ
  • Security Advisories : SA90
マカフィー
  • McAfee Security Bulletin : SB10100
ミラクル・リナックス レッドハット 日本電気
  • NEC製品セキュリティ情報 : NV15-007
日立
CWEによる脆弱性タイプ一覧  CWEとは?

  1. バッファエラー(CWE-119) [NVD評価]
  2. その他(CWE-Other) [IPA評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2015-0235
参考情報

  1. JVN : JVNVU#99234709
  2. JVN : JVNVU#97220341
  3. JVN : JVNVU#92655282
  4. National Vulnerability Database (NVD) : CVE-2015-0235
  5. IPA 重要なセキュリティ情報 : glibc の脆弱性対策について(CVE-2015-0235)
  6. US-CERT Vulnerability Note : VU#967332
  7. 関連文書 : Qualys Security Advisory CVE-2015-0235
  8. 関連文書 : 株式会社アラタナ の告知ページ (Linux glibcの脆弱性(通称 : Ghost)への弊社対応状況について)
  9. 関連文書 : All iDirect Posted Common Vulnerabilities and Exposures
更新履歴

[2015年01月29日]
  掲載
[2015年01月30日]
  概要:内容を更新
  CVSS による深刻度:内容を更新
  CWE による脆弱性タイプ一覧:CWE-ID を追加
  参考情報:関連文書 (株式会社アラタナ の告知ページ (Linux glibcの脆弱性(通称 : Ghost)への弊社対応状況について)) を追加
[2015年02月02日]
  ベンダ情報:ミラクル・リナックス (glibc (GHOST) の脆弱性 (CVE-2015-0235)) を追加
[2015年02月16日]
  ベンダ情報:ブルーコートシステムズ (SA90) を追加
  ベンダ情報:IBM (1695860) を追加
  ベンダ情報:IBM (1695835) を追加
  ベンダ情報:シスコシステムズ (cisco-sa-20150128-ghost) を追加
[2015年03月03日]
  ベンダ情報:IBM (1696243) を追加
  ベンダ情報:IBM (1696526) を追加
  ベンダ情報:IBM (1696600) を追加
  ベンダ情報:IBM (1696602) を追加
  ベンダ情報:IBM (1696618) を追加
[2015年03月11日]
  ベンダ情報:アライドテレシス (アライドテレシス株式会社からの情報) を追加
[2015年03月20日]
  ベンダ情報:レッドハット (RHSA-2015:0126) を追加
[2015年03月25日]
  ベンダ情報:ターボリナックス (TLSA-2015-3) を追加
[2015年04月09日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:ソフォス (Sophos products and the GHOST vulnerability affecting Linux) を追加
  ベンダ情報:ソフォス (121879) を追加
  ベンダ情報:オラクル (ELSA-2015-0090) を追加
  ベンダ情報:オラクル (ELSA-2015-0092) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBHF03289 SSRT101953) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBGN03270 SSRT101937) を追加
  ベンダ情報:ウェブセンス (Vulnerabilities resolved in TRITON APX Version 8.0) を追加
  ベンダ情報:ジュニパーネットワークス (JSA10671) を追加
  ベンダ情報:マカフィー (SB10100) を追加
  参考情報:関連文書 (All iDirect Posted Common Vulnerabilities and Exposures) を追加
[2015年04月17日]
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - April 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - April 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (April 2015 Critical Patch Update Released) を追加
[2015年04月20日]
  影響を受けるシステム:内容を更新
[2015年06月26日]
  ベンダ情報:バッファロー (株式会社バッファロー の告知ページ) を追加
[2015年07月07日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:アップル (HT204942) を追加
  ベンダ情報:アップル (APPLE-SA-2015-06-30-2 OS X Yosemite v10.10.4 and Security Update 2015-005) を追加
[2015年07月29日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日本電気 (NV15-007) を追加
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - July 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - July 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (July 2015 Critical Patch Update Released) を追加
[2015年10月06日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:アップル (HT205267) を追加
  ベンダ情報:アップル (APPLE-SA-2015-09-30-3 OS X El Capitan 10.11) を追加
  参考情報:JVN (JVNVU#97220341) を追加
[2015年10月23日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - October 2015) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - October 2015 Risk Matrices) を追加
  ベンダ情報:オラクル (October 2015 Critical Patch Update Released) を追加
[2015年10月27日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:アップル (HT205375) を追加
  ベンダ情報:アップル (APPLE-SA-2015-10-21-4 OS X El Capitan 10.11.1 and Security Update 2015-007) を追加
  参考情報:JVN (JVNVU#92655282) を追加
[2015年12月25日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日立 (サーバ・クライアント製品 glibc(GNU C Library)の脆弱性((CVE-2015-0235) 通称GHOST)による影響について) を追加
[2016年01月28日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - January 2016) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices) を追加
  ベンダ情報:オラクル (January 2016 Critical Patch Update Released) を追加