Linux GNU Cライブラリ(glibc)に脆弱性 CVE-2015-0235(通称:GHOST)が見つかる

スポンサードサーチ

2015年1月28日、Linux等UNIX系OSで標準的に使用されているC言語標準ライブラリ「glibc」に脆弱性が発見されました。

Qualysが公開した「GHOST」のキャラクター
Qualysが公開した「GHOST」のキャラクター

ITmediaエンタープライズ:glibcライブラリに脆弱性、多数のLinuxディストリビューションに影響か

脆弱性を報告した米セキュリティ企業のQualysによると、脆弱性は「nss_hostname_digits_dots()」関数に起因し、2000年にリリースされたglibc 2.2から2.17までに存在する。細工されたホスト名を「gethostbyname」などの関数の引数に渡すことで、バッファオーバーフローを誘発されてしまう。

JVC:JVNVU#99234709 glibc ライブラリにバッファオーバーフローの脆弱性

遠隔の第三者によって、任意のコードを実行されたりサービス運用妨害 (DoS) 攻撃が行われたりするなどの可能性があります。

放置した場合、多くのアプリケーションがこの脆弱性の影響を受けることが予想されますので、自社サーバの対応を行いました。

自社サーバに適応

まずは、glibcのバージョンを確認します。

glibcのバージョンを確認

yum list installed | grep glibc

私の管理しているサーバの場合、該当しているバージョンでしたのでyumでアップデートを行います。

脆弱性の対象となるバージョンの場合、glibcのアップデートを実行

yum -y update glibc

アップデート後、念のためテストプログラムを走らせて確認をしてみます。

テストプログラムについては、以下のサイトの「オンラインでの確認方法」を参考に行いました

piyolog:glibc の脆弱性 CVE-2015-0235(通称:GHOST)についてまとめてみた

テストプログラムの実行

cd /tmp
curl -sko ghost.c https://raw.githubusercontent.com/mholzinger/CVE-2015-0235_GHOST/master/ghost.c
gcc ghost.c -o ghost
./ghost

無事「not vulnerable」と表示されました。

こちらは、用が済んだら削除しておきましょう。

低コスト・短期間で独自ECサイトを構築できる「ファースト・ローンチ」

ファースト・ローンチ」の「CS-Cart」スタートプランは、多言語・多通貨対応ECパッケージ「CS-Cart」に、日本国内の配送業者に対応した「日本国内向け配送料金算」アドオンの導入と日本語対応、初期設定を行ってご提供しています。

スピード感のある独自ECサイト構築をしたい、BASEやShopifyでは物足りない、独自ECサイトを構築したい、という場合には是非「ファースト・ローンチ」をご検討ください。

ファースト・ローンチ 公式サイト

ITのことで、お困りではありませんか?

ITは、コンサルティングからプロジェクトを全体を見据えて実施しなければ上手くいきません。
リソース・シェアリングは、ITのコンシェルジュとして、クライアントにとっての最適解をご提案するコンサルティングから構築・運用・解析までをワンストップで対応できるITコンサルティング会社です。
ITに関してお困りのことがあればお気軽にご相談ください。

ITプロジェクトで最適解を探すなら
御社にとって最適なWebサイト構築をするなら
失敗しないWebシステム開発をするなら
WordPressを活用したいなら
ECサイトを構築したいなら
越境ECサイトを構築したいなら
企業間取引向けECサイトを構築したいなら
マーケットプレス型ECサイトを構築したいなら
課題や事例から最適解を探すなら
リソース・シェアリングの実績
お問合せ

スポンサードサーチ