glibc ライブラリの 脆弱性 (CVE-2015-7547) について
先日 glibc ライブラリについての脆弱性が発表されました。アイビーシーの提供製品に対する影響について調査を実施いたしましたので以下に記載いたします。
glibc ライブラリの 脆弱性 (CVE-2015-7547)
本脆弱性は、Linux で広く使われている The GNU C Library(glibc)を利用した脆弱性で、遠隔の攻撃者により任意のコードが実行されたり、サービス運用妨害(DoS)攻撃が行われたりするなどの可能性がありバッファオーバーフローを引き起こす問題があるとご報告がございます。
○詳細は下記 URL を参照ください。
https://www.jpcert.or.jp/at/2016/at160009.html
https://jvn.jp/vu/JVNVU97236594/
■対象製品
| System Answer | ISA-LSH 、ISA-SH 、ISA-RSH 、ISA-BSH |
|---|---|
| System Answer G2 Appliance | Light 、RAID 、Virtual |
| System Answer G2 Software | Enterprise Ware 、Datacenter Ware |
■調査結果
| System Answer | ISA-LSH 、ISA-SH 、ISA-RSH 、ISA-BSH |
|---|
対象 OS およびライブラリを使用していない為、対象外となります。
| System Answer G2 Appliance | Light 、RAID 、Virtual |
|---|
対象のライブラリを使用しており脆弱性の影響対象となります。
| System Answer G2 Software | Enterprise Ware 、Datacenter Ware |
|---|
対象のライブラリを使用されている場合は、影響対象となります。
■対策
| System Answer G2 Software | Enterprise Ware、Datacenter Ware |
|---|
ディストリビュータが提供する情報をもとに、glibcを最新バージョンにアップデートしてご利用ください。
アップデート完了後はシステムの再起動を行ってください。
CentOS 6.X
https://lists.centos.org/pipermail/centos-announce/2016-February/021668.html
CentOS 7.X
https://lists.centos.org/pipermail/centos-announce/2016-February/021672.html
RedHat
https://access.redhat.com/security/cve/cve-2015-7547
| System Answer G2 Appliance | Light 、RAID 、Virtual |
|---|
本脆弱性に該当するため対策について検討中となります。
脆弱性に対応した製品リリースまでは、よりセキュリティを高めてご利用頂くための確認事項を記載いたしますのでご参照頂けますと幸いです。
System Answer および System Answer G2 Appliance 製品の設置先として Firewall 内に設置して頂くこと、参照先 DNS サーバーの edns-udp-size および max-udp-size を定義することでリスクの軽減を行えますのでご確認ください。
本件についての恒久的な対応について検討を行います。
脆弱性に対応した製品リリース情報のアップデートがございましたら、別途ご連絡申し上げます。
以上
