pslaboが試したことの記録

はてなダイヤリーからはてなブログに引っ越してきました

この日記は現在実行中の減量記録を含む個人的なメモとして始めましたが、最近はコンピュータやガジェット、ハック、セキュリティネタのほうがメインになっております。

はてなダイヤリー時代はカテゴリ分けが適当だったのですが、これはそのうち直します。


glibc 祭りが来ましたねー。CVE-2015-7547 ですか。

※割と随時更新しています。

CVE-2015-7547 だそうで。問題個所はDNS問い合わせに関するもの。
Google Online Security Blog
「glibc」ライブラリに脆弱性、Linuxの大部分に深刻な影響 - ITmedia エンタープライズ


JPCERT や JVN からも情報出ました。
glibc ライブラリの脆弱性 (CVE-2015-7547) に関する注意喚起
JVNVU#97236594: glibc にバッファオーバーフローの脆弱性

JPRSからの注意喚起情報にはFAQも含まれていて参考になります。
(緊急)GNU C Library(glibc)の脆弱性について(CVE-2015-7547)


なお「Amazon Web Service で外部のDNSを参照していない」場合は影響を受けない模様。これはクラスメソッドさんのまとめ。相変わらず情報早い。
CVE-2015-7547 (glibcの脆弱性) AWSでの対応まとめ | Developers.IO


対策は以下の2つ。

  • すぐにパッチを当てられる環境ならば、当然パッチすべき。
  • パッチできないならば、GoogleのセキュリティブログではDNS問い合わせに対するレスポンスが2048バイトを超えるものを落とす対策が推奨されている。今回のパッチに附帯する情報はもうちょっと細かくて、暫定対応としてはパケットフィルタによりUDPは512バイトを超えるものを落とし、TCPなら1024バイトを超えるものを落とすという方法がパッチと一緒にメーリングリストに投稿されたメールでは一時的なマイグレーションとして書かれているようだ。これらの対策はパケットフィルタを用いる他にも、dnsmasq で縛りを入れられるようだ。

iptables で落とす例はここら辺にありますね。すぐにパッチ当てられない場合はこういうのを参考に対処いただくのがよいかと思います。ただしここに書かれている方法は2048バイト縛りなので、やるなら512や1024バイト縛りだと思われ。
glibcの脆弱性対策(取り急ぎiptables/firewalldで叩き落とす!)for CVE-2015-7547 - Qiita


パッチについては、RedHat からは Errata が出てます。
https://rhn.redhat.com/errata/RHSA-2016-0175.html

そしてCentOS 向けにもアップデート出てます。
https://lists.centos.org/pipermail/centos-announce/2016-February/021668.html

だから RHEL / CentOS ユーザは yum update すれば OK ですね。ただし、2016/02/17 11:30 時点では国内のミラーサイトでアップデート版のrpmが配備されていないサイトもあるようなので、単に yum update するだけでは駄目かも。

KDDI にはあったけど、riken には無かったです。場合によっては wget or curl でダウンロードしてローカル上で yum update [rpmファイル名] か、rpm -Uvh [rpmファイル名]する必要があるかもしれん。


まあ、パッチが出てる状況だから、dnsmasq を試すまでのこともなさげ。


パッチ当てたあとは、libresolv とか libnss_dns を参照中の daemon を再起動するか、または OS ごと再起動するかを状況に応じて判断すればよいかと。lsof | grep -e libnss_dns -e libresolv | grep DEL とかすれば、アップデートで削除されたライブラリを参照しているプロセスが分かりますからね。

まあでも glibc 関連は参照するプロセスが多いだろうから、OS ごと再起動するがたぶん楽ではあります。