ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2015-01-28

glibc の脆弱性 CVE-2015-0235(通称:GHOST)についてまとめてみた

| 10:52 |  glibc の脆弱性 CVE-2015-0235(通称:GHOST)についてまとめてみたを含むブックマーク

2015年1月27日(現地時間) Qualysはglibc(GNU C Library)に脆弱性を発見し、情報を公開しました。ここでは関連情報をまとめます。(暫定まとめなので精度低め、網羅性無しです。。)

(1) 脆弱性関連情報

Qualysが公開した脆弱性情報
注意喚起
脆弱性の概要
脆弱性識別情報
CVSS
  • 6.8 (RHELだとCritical)
脆弱性の愛称
発見者
  • Qualys

(2) タイムライン

日時出来事
2000年11月10日CVE-2015-0235の影響を受ける最初期バージョン glibc 2.2がリリース
2013年5月21日glibcバッファオーバーフローの修正パッチが公開
2013年8月12日glibc 2.18がリリース
2015年1月27日Qualysがglibc脆弱性情報 CVE-2015-0235を公開。

(3) 対策

(4) 影響対象

glibc
ディストリビュータの情報
  • GHOST対応はパッチ適用されているケースが多く、修正バージョンについてはベンダ情報を参照すること。
ディストリ影響有無対象バージョン・脆弱性関連情報修正バージョン
Redhat影響ありGHOST glibc vulnerability (CVE-2015-0235)
RHSA-2015:0090-1
RHSA-2015:0092-1
RHEL 4
RHEL 5
RHEL 6
RHEL 7
RHEL 5 (glibc-2.5-123.el5_11.1)
RHEL 6 (glibc-2.12-1.149.el6_6.5)
RHEL 7 (glibc-2.17-55.el7_0.5)
debian影響ありDSA-3142-1
squeeze
squeeze(lts)
wheezy
squeeze (eglibc 2.11.3-4+deb6u4)
wheezy (eglibc 2.13-38+deb7u7)
CentOS影響ありCentOS 4
CentOS 5
CentOS 6
CentOS 7
CentOS 5 (glibc-2.5-123.el5_11.1)
CentOS 6 (glibc-2.12-1.149.el6_6.5)
CentOS 7 (glibc-2.17-55.el7_0.5)
Ubuntu影響ありCVE-2015-0235 aka GHOST
USN-2485-1
Ubuntu 10.04 LTS
Ubuntu 12.04 LTS
Ubuntu 10.04 LTS (eglibc 2.11.1-0ubuntu7.20)
Ubuntu 12.04 (eglibc 2.15-0ubuntu10.10)
AWS/Amazon Linux影響ありCVE-2015-0235 Advisory (Ghost)
ALAS-2015-473
Amazon Linux (glibc-static-2.17-55.93.amzn1)
SUSE Linux影響ありBug 913646
SUSE Linux Enterprise 11以前のバージョン
SUSE Linux 11 SP3 (glibc-2.11.3-17.74.13)
SUSE Linux 11 SP2 LTSS (glibc-2.11.3-17.45.55.5)
SUSE Linux 11 SP1 LTSS (glibc-2.11.1-0.60.1)
SUSE Linux 10 SP4 LTSS (glibc-2.4-31.113.3)
Fedora影響ありの模様Fedora19 以前
Oracle Linux影響ありの模様Oracle Linux 5
Oracle Linux 6
Oracle Linux 7
Oracle Linux 5 (glibc-2.5-123.0.1.el5_11.1)
Oracle Linux 6 (glibc-2.12-1.149.el6_6.5)
Oracle Linux 7 (glibc-2.17-55.0.4.el7_0.5)
Slax影響ありglibc 2.15
Knoppix影響ありKnoppix 7.2以前
Arch Linux影響無しの模様glibc 2.20-6を使用
Gentoo Linux影響無しglibc 2.19-rc1を使用
Android影響無しglibcではなくBionic libcを使用
その他 影響を受ける製品・ソフトウェア
製品名関連情報
PHPコンソール上での実行ですが、Webからの呼び出しでもPHPがクラッシュします
clockdiff 
procmailcomsat/biff機能を介して影響を受ける可能性
pppdSUIDでroot指定されていた場合影響を受ける可能性
Exim Mail ServerExim vector for glibc vulnerability
以下オプションのいずれかを設定している場合に影響を受ける
helo_verify_hosts
helo_try_verify_hosts
Brocade VyattaBrocade Vyatta 5400 vRouter 6.7R5以前のバージョン
Qualys Security TeamによりGHOSTによる悪用の影響が確認されなかったソフトウェア

(5) 確認方法

glibc に関連したソフトウェアの検索コマンド

$ lsof | grep libc | awk '{print $1}' | sort | uniq

http://ma.ttias.be/critical-glibc-update-cve-2015-0235-gethostbyname-calls/
オフラインでの確認方法
オンラインでの確認方法

#!/bin/bash

cd /tmp

curl -sko ghost.c https://raw.githubusercontent.com/mholzinger/CVE-2015-0235_GHOST/master/ghost.c

gcc ghost.c -o ghost

./ghost

https://raw.githubusercontent.com/mholzinger/CVE-2015-0235_GHOST/master/build.sh

GHOST対応を行ったサービス(一部推測含む)

GHOSTを取り上げたマスメディア報道記事

セキュリティ関連組織の関連情報・GHOSTの脅威分析

ベンダ・組織評価関連情報
Rapid7"It’s also not another Heartbleed."GHOST in the Machine – Is CVE-2015-0235 another Heartbleed?
SANS"Apply this update as soon as you see patched offered by your Linux/Unix distribution"New Critical GLibc Vulnerability CVE-2015-0235 (aka GHOST)
TrendMicro"「GHOST」を狙った実際の攻撃による危険性は、「Shellshock」や「Heartbleed」などの脆弱性と比較すると低い"Linuxに存在する脆弱性「GHOST」、システム管理者は落ち着いて対処を
Sucuri"Update as soon as possible!"Critical “GHOST” Vulnerability Released
IMPERVA"there is no known exploitation vector for most popular applications"CVE-2015-0235 - GHOST
Cisco"GHOST Not as Scary as it Seems"CVE-2015-0235: A GHOST in the Machine
Symantec"GHOST is not as serious as it appears because a number of factors mitigate its impact"Linux GHOST vulnerability (CVE-2015-0235) is not as scary as it looks
IPA"至急、修正パッチを当ててほしい"日経記事より

その他関連情報

謝辞

このまとめは次の方から頂いた情報を元に修正、追記を行っています。ありがとうございます。

  • @kitagawa_takujiさん
  • @vulcainさん