ご利用ガイド CVE-2015-0235(GHOST)脆弱性に関する注意

概要

2015年1月28日、GNU Cライブラリglibcに脆弱性が見つかりました。gethostbyname()などのライブラリ関数を使っている場合に影響があります(実際に脆弱性があるのは、これらの関数が内部で使用している __nss_hostname_digits_dots()関数です)。

この脆弱性により、プログラムによってはリモートから任意のコードを実行される可能性があります。

ConoHaの標準OSにはglibcが含まれており、標準OSでVPSをご利用のお客様はこの影響を受けます。また標準OS以外を使っている場合でも、Linux系のOSであればglibcが含まれていることが多く、影響を受ける可能性があります。このエントリでは、標準OSでの対策方法をご案内します。

対策

ConoHaの標準OSはCentOS6.5をベースとしていますが、OSのディストリビューターからアップデートが提供されているのでそれを適用します。以下の手順を実行してください。最後にVPSの再起動を行っているので、運用環境で実行する場合はご注意ください。

既にメモリ上に読み込まれているプログラム(デーモンなど)については、プログラムを再実行しないとアップデートが反映されないためです。確実にアップデートを反映させるため、VPSの再起動をおすすめします。

標準OSにインストールされているglibcのバージョンは、以下のコマンドで確認できます。以下の例ではバージョンは2.12-1.132.el6_5.1がインストールされています。

# yum list installed | grep glibc
glibc.x86_64                        2.12-1.132.el6_5.1                 @updates
glibc-common.x86_64                 2.12-1.132.el6_5.1                 @updates
glibc-devel.x86_64                  2.12-1.132.el6_5.1                 @updates
glibc-headers.x86_64                2.12-1.132.el6_5.1                 @updates

アップデートを実行します。

# yum clean all
# yum update glibc

アップデートが完了すると2.12-1.149.el6_6.5に更新されます。

# yum list installed | grep glibc
glibc.x86_64                        2.12-1.149.el6_6.5                 @updates
glibc-common.x86_64                 2.12-1.149.el6_6.5                 @updates
glibc-devel.x86_64                  2.12-1.149.el6_6.5                 @updates
glibc-headers.x86_64                2.12-1.149.el6_6.5                 @updates

VPSを再起動します

# reboot

参考情報

　・ CVE – CVE-2015-0235

　・ The GHOST Vulnerability (Qualys社によるサマリー)

　・ Red Hat Customer Portal (Red Hat社によるアップデータの詳細)

　・ oss-security – Qualys Security Advisory CVE-2015-0235 – GHOST: glibc gethostbyname buffer overflow (脆弱性の詳細)