2月1日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
GNU Cライブラリーの脆弱性(CVE-2015-0235)(2015/01/27)
glibc(GNU Cライブラリー)は、GNUが提供するlibc(C言語の基本的な部品を集めたライブラリー)です。このglibcが提供するホスト名からIPアドレスへの変換を行うgethostbyname系関数には、任意のコード実行を許してしまう可能性のある脆弱性(CVE-2015-0235)が存在します。この問題は、別名GHOST問題と呼ばれています。1月27日に、脆弱性が存在することが報告され、Linuxディストリビュータから対策版がリリースされました。
- CentOS:CESA-2015:0090 Critical CentOS 5 glibc Security Update
- CentOS:CESA-2015:0092 Critical CentOS 6 glibc Security Update
- CentOS:CESA-2015:0092 Critical CentOS 7 glibc Security Update
- Red Hat:RHSA-2015:0090 Critical: glibc security update
- Red Hat:RHSA-2015:0092 Critical: glibc security update
- Debian:DSA-3142-1 eglibc -- security update
- Ubuntu:USN-2485-1: GNU C Library vulnerability
製品開発ベンダーから発信されたセキュリティ情報を日ごと(1月27日~1月28日)に追いかけてみましょう。
1月27日
1月28日
- シスコ:cisco-sa-20150128-ghost: GNU glibc gethostbyname Function Buffer Overflow Vulnerability
- Blue Coat Systems:SA90: Ghost remote code execution in glibc
- Citrix:Citrix Security Advisory for glibc GHOST Vulnerability(CVE-2015-0235)
- F5 Networks:SOL16057: GHOST: glibc gethostbyname buffer overflow vulnerability CVE-2015-0235
- Juniper Networks:2015-01 Out of Cycle Security Bulletin: GHOST glibc gethostbyname()buffer overflow vulnerability(CVE-2015-0235)