1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. GNUプロジェクトのCライブラリ(glibc)にバッファオーバーフローの脆弱性(CVE-2015-7547)が確認される

GNUプロジェクトのCライブラリ(glibc)にバッファオーバーフローの脆弱性(CVE-2015-7547)が確認される

GNUプロジェクトのCライブラリ(glibc)にバッファオーバーフローの脆弱性(CVE-2015-7547)が確認される2月17日、UNIX互換のフリーソフトウェアの実装を推進するGNUプロジェクトによる標準Cライブラリ (glibc:ジーリブシー)にバッファオーバーフローの脆弱性(CVE-2015-7547)があることが明らかになった。

glibcは、一般利用者がLinuxをインストールし、利用できる形態にパッケージされたLinuxディストリビューションで使用されている重要なものだ。

JPCERTコーディネーションセンター(JPCERT/CC)やJVNによると、glibcのバージョン2.9およびそれ以降のバージョンには、IPアドレスの名前解決に使用されるライブラリ関数「getaddrinfo()」にバッファオーバーフローの脆弱性が存在する。この脆弱性は2008年から存在しており、脆弱性を悪用されると、遠隔の第三者によって任意のコードを実行されたり、サービス運用妨害(DoS)攻撃が行われたりするなどの可能性がある。

トレンドマイクロ社は、「Heartbleed」や「Shellshock」といった深刻な影響を及ぼした脆弱性に比べれば重大ではないものの、早急に対処すべき問題であると指摘している。

glibc管理者により、本脆弱性(CVE-2015-7547)が修正された更新プログラムが公開されている。JPCERT/CCでは、十分なテストを実施の上、適用を検討するよう呼びかけている。また、Linuxディストリビューションによっては対策パッケージが提供されているところもあるため、使用中のディストリビューターなどの情報を参照し、修正済みバージョンの適用を検討することも併せて呼びかけている。

glibc にバッファオーバーフローの脆弱性(JVNVU#97236594)
glibc ライブラリの脆弱性 (CVE-2015-7547) に関する注意喚起(JPCERT/CC)
Linux GNU Cライブラリの脆弱性:その概要と対応方法(トレンドマイクロ セキュリティブログ)
Linuxの「glibc」ライブラリに脆弱性で修正パッチ配布、iOS/Androidでの被害は限定的か(INTERNET Watch)


日立ソリューションズのセキュリティソリューション

サイバー攻撃対策ソリューション

サイバー攻撃対策ソリューション

高度化する標的型攻撃、マルウェア、DDoS攻撃に加え、リスト型攻撃、オンライン不正送金などに対応する最適なサイバー攻撃対策をコンサルテーションからシステム運用・監視までトータルに提供します。

詳しく見る

関連キーワード:
  • フィッシングとは
  • カテゴリートップへ
  • APWG(Anti-Phishing Working Group)とは