GNU Cライブラリの脆弱性(CVE-2015-7547)に関する対応について
2016年02月18日
<追記:2月24日>
<追記:2月19日>
<投稿:2月18日>
2016年2月17日に公開された複数の脆弱性のうち、CVE-2015-7547は、バッファオーバーフローにより、任意のコードが実行可能であると報告されています。
このライブラリはLinuxなどで使用されており、Criticalな脆弱性とされています。
現在弊社各システムへの影響を確認、調査しております。アップデートがありましたらお知らせいたします。
■クラウドサービスをご利用中のお客様への影響と対策
弊社より提供しておりますテンプレートにおいては、本脆弱性の影響を受けるバージョンのライブラリが同梱されているものがあります。
お手数ですが、修正版への更新および再起動の実施をお願いいたします。
なお、IDCFクラウドのコミュニティテンプレートにつきましては、該当のテンプレートの発行者様にお問い合わせください。
<参考情報>
CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow (Google)
https://googleonlinesecurity.blogspot.jp/2016/02/cve-2015-7547-glibc-getaddrinfo-stack.html
CVE-2015-7547(Redhat)
https://access.redhat.com/security/cve/cve-2015-7547
<追記 2/19>
2月18日 21:00に弊社リゾルバサーバーに対する対応が完了いたしました。
引続き、他のシステムへの影響を確認、調査しております。
弊社より提供しておりますテンプレートにおいて、本脆弱性を含んだOSテンプレートは以下のものとなります。
<IDCFクラウド>
・AppTemplate CentOS 6.5
・CentOS 7.1
・CentOS 7.0
・CentOS 6.6
・CentOS 6.5
・Red Hat Enterprise Linux 6.5
・Ubuntu Server 12.04 LTS
・Ubuntu Server 14.04 LTS
・Debian 7.6.0
・Debian 7.8.0
・Debian 8.2.0
・CoreOS (beta) 494.1.0
・CoreOS (stable) 494.4.0
・CoreOS 410.2.0
・CoreOS 472.0.0
・VyOS 1.1.3
<旧クラウドサービス(セルフクラウド)>
・AppTemplate
・CentOS 6.5
・CentOS 6.4
・CentOS 6.3
・CentOS 6.0
・Red Hat Enterprise Linux 6.1
・Red Hat Enterprise Linux 6.5
・Ubuntu Server 12.04 LTS
・Debian 6.0.6
・gentoo
・VyOS 1.0.4
※一部テンプレート名ではなくOSバージョンまでの表記となります。
※ISOファイルでの提供を含んでおります。
※パッチおよびアップデートの手順については、各OSベンダーのサイトをご確認ください。
<追記 2/24>
2月18日 21:00に弊社リゾルバサーバーに対する対応が完了いたしました。
2月19日 以下のサービスに対する対応が完了しました。
・シェアドホスティングEメールサービス
・コンテンツキャッシュサービス
2月22日 以下のサービスに対する対応が完了しました。
・権威DNS
・マネージドDNSサービス
・IDCFクラウドDNS
本脆弱性は、DNSサーバー側の対応のみでは、回避策として不十分とされております。お客様の環境において、本脆弱性の影響を受けるホストがある場合、十分な検証の上、修正済みバージョンの適用をお願いいたします。