株式会社ソフテックは、2022年4月1日に株式会社サイバーセキュリティクラウドに吸収合併されました。詳しくはこちら。
SIDfm head title

GNU C ライブラリ glibc のセキュリティホール(通称 GHOST )
についての注意喚起

新規作成日時:2015年01月28日 11:23 | 最終更新日時:2015年02月02日 10:00
本情報については、状況に応じて順次更新される可能性があります。

 GNU C ライブラリ glibc は、gethostbyname() 関数の処理が原因でセキュリティホールが存在します(CVE-2015-0235)。このセキュリティホールを悪用された場合、細工されたホスト名を gethostbyname() で処理した際に、任意のコマンドが実行されます。発見者は gethostbyname()になぞらえて、この脆弱性を通称 GHOST と名付けました。

現在、何が起きているか?

 各種 Linux でリモートから任意のコマンドを実行される可能性があります。gethostbyname() を使ってホスト名を処理しているサービス(一部のメールサーバ、アクセス解析プログラムなど)においては、非常に危険です。既に攻撃コードが公開されており、容易にセキュリティホールを悪用できる状態です。

  • SMTP サーバの exim では、ホスト名を検証するオプションが設定されている場合、gethostbyname() が使われることが確認されています。
    https://lists.exim.org/lurker/message/20150127.200135.056f32f2.en.html
    To protect Exim against the HELO/EHLO attack vector, do *not* set either of these in the main configuration:
       helo_verify_hosts
       helo_try_verify_hosts

    and do *not* use the following in any ACLs:
       verify = helo
  • その他、iputils の clockdiff コマンドや Procmail、pppdも影響を受けることが確認されました。

以下のプロダクトでも影響する可能性があることが発表されました。(2015/2/2 追記、修正)

ベンダー名 製品名
Linux Foundation eglibc
F5 Networks
(2015/1/30 修正)		 BIG-IP LTM / BIG-IP AAM / BIG-IP AFM / BIG-IP Analytics / BIG-IP APM / BIG-IP ASM / BIG-IP Edge Gateway
/ BIG-IP GTM / BIG-IP Link Controller / BIG-IP PEM / BIG-IP PSM / BIG-IP WebAccelerator / BIG-IP WOM / ARX
/ Enterprise Manager / BIG-IQ Cloud / BIG-IQ Device / BIG-IQ Security
Citrix Systems Citrix XenServer / Citrix NetScaler SDX / Citrix XenMobile / Citrix License Server VPX / Citrix CloudPlatform / Citrix XenClient Enterprise
Cisco Systems
(2015/2/2 修正)		 Cisco Jabber Guest 10.0(2) / Identity Services Engine (ISE) / Cisco Prime Infrastructure 2.2 / Cisco Prime Optical for SPs
/ Cisco Connected Grid Routers (CGR) / Cisco Unified Communications Manager (UCM) 10.0
/ Cisco Unified Communications Manager Session Management Edition (SME) / Cisco Unified SIP Proxy
/ Cisco DCM Series 9900-Digital Content Manager / Cisco Edge 300 Digital Media Player
/ Cisco Edge 340 Digital Media Player / Cisco Expressway Series/ Cisco TelePresence Conductor
/ Cisco TelePresence Video Communication Server (VCS) / Cisco SLIM
Blue Coat Systems Content Analysis System / Director / DLP / Malware Analysis Appliance / Malware Analyzer G2 / Management Center
/ Norman Shark Industrial Control System Protection / Norman Shark Network Protection / Norman Shark SCADA Protection
/ PacketShaper S-Series / Security Analytics / SSL Visibility / X-Series
Juniper Networks
(2015/2/2 修正)		 Junos Space / CTPView / CTP / IDP-SA / SRC / NSM Appliance / JSA and STRM Series
Check Point Software Technologies
(2015/1/30 追加)		 Security Gateway / Security Management / Multi-Domain Management (Provider-1) / VSX
Trend Micro
(2015/2/2 追加)		 InterScan for Message Security Virtual Appliance

今後、何が起こるか?

 glibc は、様々な Linux で標準的に利用されているコアライブラリです。gethostbyname() 関数を使用するサービスは多種多様であり、影響を受けるサービスの特定が難しいため、潜在的に脆弱性が残る可能性が懸念されます。

 また、Linux ベースで動作しているアプライアンスシステムなどの場合にはベンダからの情報が遅れたり、古い機器では修正プログラムが提供されない可能性があり、glibc をスタティックリンクして使用している場合には、ライブラリのアップデートだけでは問題が修正されません。

どうすれば良いのか?

 各ベンダーの更新プログラムを入手し、適切なバージョンへアップデートしてください。さらに、glibc のアップデート後にその変更を反映するためには、関連するサービスプログラムもしくはシステムの再起動が必要になります。標準的には glibc はダイナミックリンクで利用されますが、明示的にスタティックリンクによって利用しているプログラムでは、適切なバージョンへ glibc をアップデートした後に再コンパイルを実行してください。

アップデートが困難な場合には、

  • ファイアウォールなどにより外部からの入力をフィルタする

が挙げられます。
ただし、意図していない経路からセキュリティホールを利用されてしまう可能性が残りますので、適切なバージョンへのアップデートを推奨します。

SIDfm関連コンテンツ

免責事項

 本ページの情報は、無保証で「As is」(現状のまま)として提供します。本ページの情報は、ご利用者様の責任においてご利用ください。本ページにおける当社が提供する情報及びその他の情報に基づいたページ利用者様の行為により、いかなる付随・必然の損害が生じた場合でも、当社はその法的債務あるいは法的責任を負うものではありません。また、当社は本ページにおいて提供する情報の正確性、完全性および有用性に対し、明示的にも暗黙的にもいかなる保証を行うものではなく、いかなる法的債務あるいは法的責任を負うものではありません。