「glibc」ライブラリに脆弱性、Linuxの大部分に深刻な影響

ほとんどのLinuxアプリケーションに使われているGNU Cライブラリの「glibc」に深刻な脆弱性が見つかり、米GoogleとRed Hatの研究者が開発したパッチが2月16日に公開された。 脆弱性は2008年5月にリリースされたglibc 2.9以降のバージョンに存在する。Googleによると、glibcで「getaddrinfo()」ライブラリ機能が使われた際に、スタックベースのバッファオーバーフローの脆弱性が誘発されることが判明。この機能を使っているソフトウェアは、攻撃者が制御するドメイン名やDNSサーバ、あるいは中間者攻撃を通じて脆弱性を悪用される恐れがあるという。 Googleの研究者は、先にこの問題を発見していたRed Hatの研究者と共同で調査を進め、脆弱性を突くコードの開発に成功したとしている。パッチの公開に合わせて、攻撃には利用できないコンセプト実証コードも公開した。こ

[shinjukukumin]

前も無かったっけ？と思ったが前のはgethostbyname()だったでござる。

[regularexception]

本番サーバのglibcヴァージョン調べたら古すぎてセーフだった

[y-kawaz]

む、glibcにデカイ脆弱性きたかー。getaddrinfoの名前朝解決時に悪意あるDNSレスポンスパケット食わされるとexploit発動ってほぼ全ての通信を行うアプリが全部ヤバいじゃん…。

[y-kawaz2]

サーバのglibc入れ替えて再起動とか、そう簡単に出来ないよって人向けに、とりあえずiptablesで防御するための時間稼ぎコピペコマンド書いた！ http://bit.ly/1RLLhou

[rAdio]

以前なら、この手のニュースに戦々兢々としたものだけど、転職して今はもう、「自分以外に理解者のいないトラック数1の孤独な最先任インフラ担当者」ではないので、気が楽だ。

[s025236]

脆弱性に名前が付く→キャラクターやロゴができる→解説ページ増える→情シや管理者が震え上がる…これだけじゃ緊急性がよくわからない

[shoh8]

でかくね？早く脆弱性に名前を付けよう！

[ysync]

泥はglibcじゃなかった気がしたが影響受けるんかな？

[seenoview]

なんかヤバそう！？と思ったけど来週退職する私には関係ないことだった

[yuya_lush]

キツイのきたなー。

[tyoro1210]

めんどいー

[uchimata]

おぉぉう。

[iR3]

ほ〜

[daybeforeyesterday]

うーむ

[vanish_l2]

初代ピッコロ編でフリーザ様が降臨するくらいのヤバさってことでおｋ？

[s_nagano]

ヤバイなこれ

[georgew]

今朝apt-getでわらわらとパッケージのupdate促されてるなと思ったらこれが原因か...

[ANNotunzdY]

getaddrinfo ｗｗｗｗｗｗ 深刻すぎる ｗｗｗｗｗ

[atsu10]

これこれ。メモ。

[KoshianX]

glubc 2.9 以降か。またバカでかいの来たなあ……。ゼロデイ攻撃じゃなくてよかった……

[fufufukakaka]

インフラ屋さんがしんでまう

[ming_mina]

また面倒なことになりそうだな…

[yutaso_gadget]

たまげたなぁ

[chroju]

あー……／去年あたりの脆弱性命名ブームはなんだったのかね。単に発見者のノリっぽいけど、venom http://venom.crowdstrike.com/ あたりはハリキリ過ぎ感あった。

[tohima]

対象は何億台なんだろ

[at_yasu]

CVE-2015-7547の話

[Lat]

GHOSTのときと同じようにやらないと。。。

[kujira_aoi_blue]

なるほど。明日見る

[deep_one]

激しい…／「脆弱性は2048バイトを超すサイズのUDPまたはTCPレスポンスによって誘発される」

[color_cream]

影響でかい

[ooblog]

#Linux 「glibcで「getaddrinfo()」~バッファオーバーフローの脆弱性~大半のUNIX~Androidからホームルータに至るまで広範~DNSルックアップを誘発される恐れ」

[woinary]

脆弱性に名前付ける→擬人化、萌え化（違う）／キャサリンが寝かせてくれなくて...／うちのインフラ部隊は対応してくれるのかな。

[grover]

対応せざるおえない

[rmomu]

やば

[nezuku]

glibcとなると対象の環境は多いだろうし、確実な適用には再起動欠かせない感じになりそう

[m-nakamata]

“Android”

[UDONCHAN]

大変

[zia_glass]

いったいいくつのソフトに使われてるんだ

[yhys07]

今年最初の大型案件きたか