本日の注目ニュース!!

2016年02月18日

【鯖管涙目】Linuxに深刻な脆弱性キタ━━━━(゚∀゚)━━━━!! インターネット\(^o^)/オワタ

6
コメント
linuximage

1: 稲妻レッグラリアット(長野県)@\(^o^)/ 2016/02/17(水) 19:45:35.86 ID:ud7BoEqa0.net BE:323057825-PLT(12000) ポイント特典
 ほとんどのLinuxアプリケーションに使われているGNU Cライブラリの「glibc」に深刻な脆弱性が見つかり、米GoogleとRed Hatの研究者が開発したパッチが2月16日に公開された。

 脆弱性は2008年5月にリリースされたglibc 2.9以降のバージョンに存在する。
Googleによると、glibcで「getaddrinfo()」ライブラリ機能が使われた際に、スタックベースのバッファオーバーフローの脆弱性が誘発されることが判明。
この機能を使っているソフトウェアは、攻撃者が制御するドメイン名やDNSサーバ、あるいは中間者攻撃を通じて脆弱性を悪用される恐れがあるという。

 Googleの研究者は、先にこの問題を発見していたRed Hatの研究者と共同で調査を進め、脆弱性を突くコードの開発に成功したとしている。
パッチの公開に合わせて、攻撃には利用できないコンセプト実証コードも公開した。
これを使えば自分のシステムに脆弱性が存在するかどうかを確認し、回避策についても検証できるという。

 米セキュリティ機関のSANS Internet Storm Centerはこの脆弱性について、getaddrinfo機能は大半のUNIXベースシステムでIPアドレスの解決に使われており、
影響はAndroidからホームルータに至るまで広範に及ぶと指摘する。
Webページに画像を仕込む手口や、メールを送信してスパムフィルタで処理させる手口など、さまざまな手口でDNSルックアップを誘発される恐れがあると解説している。

 Googleによれば、脆弱性は2048バイトを超すサイズのUDPまたはTCPレスポンスによって誘発される。
このため、すぐにはパッチを適用できない場合の対策として、DNSMasqのようなプログラムを使ってDNSレゾルバが受け入れるレスポンスのサイズを制限する方法などを挙げている。

「glibc」ライブラリに脆弱性、Linuxの大部分に深刻な影響
脆弱性が指摘された機能は大半のUNIXベースシステムでIPアドレスの解決に使われており、影響はAndroidからホームルータに至るまで広範に及ぶ。
http://www.itmedia.co.jp/enterprise/articles/1602/17/news065.html

全てのスマホに関係する脆弱性だな

16: エクスプロイダー(庭)@\(^o^)/ 2016/02/17(水) 19:54:38.42 ID:sbxXfcjP0.net
>>2
iPhoneも

21: ドラゴンスクリュー(茸)@\(^o^)/ 2016/02/17(水) 19:58:23.97 ID:PoEssmh+0.net
>>16
え?

30: リバースネックブリーカー(やわらか銀行)@\(^o^)/ 2016/02/17(水) 20:00:34.87 ID:j4+7r5QU0.net
>>16
iOSはBSD系だから違うだろ

31: エクスプロイダー(庭)@\(^o^)/ 2016/02/17(水) 20:01:15.77 ID:sbxXfcjP0.net
>>21
>>30
クエスチョンマークつけ忘れた。

3: 雪崩式ブレーンバスター(SB-iPhone)@\(^o^)/ 2016/02/17(水) 19:47:30.15 ID:/mhyDYmG0.net
誰かドラゴンボールで例えて

4: 膝十字固め(茨城県)@\(^o^)/ 2016/02/17(水) 19:48:27.11 ID:SC2JDwLE0.net
>>3
サイヤ人の尻尾を握ると力が抜ける

14: エメラルドフロウジョン(新潟県)@\(^o^)/ 2016/02/17(水) 19:51:52.01 ID:1J+C0AiE0.net
>>4
すげー的確でワロタ

9: スリーパーホールド(シンガポール)@\(^o^)/ 2016/02/17(水) 19:49:18.51 ID:Bwpygoh90.net
>>3
道着がオブラートだった

57: レインメーカー(東京都)@\(^o^)/ 2016/02/17(水) 20:44:47.79 ID:Z1R/YU3z0.net
>>3
no title

5: スリーパーホールド(シンガポール)@\(^o^)/ 2016/02/17(水) 19:48:38.69 ID:Bwpygoh90.net
やばいだろ

6: ファイヤーバードスプラッシュ(新疆ウイグル自治区)@\(^o^)/ 2016/02/17(水) 19:48:43.03 ID:eDEWoDY50.net
BSD libc のオレ様大勝利111

19: エクスプロイダー(SB-iPhone)@\(^o^)/ 2016/02/17(水) 19:57:27.69 ID:jOOq381d0.net
>>6
勝ちだな

8: 腕ひしぎ十字固め(新潟県)@\(^o^)/ 2016/02/17(水) 19:49:08.06 ID:chhVT8Jl0.net
もろよわせい

10: ストレッチプラム(空)@\(^o^)/ 2016/02/17(水) 19:49:40.30 ID:JJOvEGmV0.net
たまにしかパッチ当たらない分当てるときは超怖い

11: ファイヤーバードスプラッシュ(アラビア)@\(^o^)/ 2016/02/17(水) 19:50:06.74 ID:nRChyGWX0.net
き…脆弱性

12: リバースネックブリーカー(関西地方)@\(^o^)/ 2016/02/17(水) 19:50:51.20 ID:tzXEVUb00.net
Cでコード書くと面倒くさいからついついバッファサイズ固定にしがちだけどやっぱダメだよな
2000年前後のWindowsアプリとかそんな実装のいっぱいあった気がするね

15: ランサルセ(空)@\(^o^)/ 2016/02/17(水) 19:52:42.70 ID:1ixUZivM0.net
glibcなんてオープンソースOSほとんど全てヒットするじゃないか。

17: ファルコンアロー(静岡県)@\(^o^)/ 2016/02/17(水) 19:55:28.66 ID:R9Z5C7DP0.net
古いglibcのままだった俺鯖に四角はなkった

24: フェイスクラッシャー(茸)@\(^o^)/ 2016/02/17(水) 19:59:06.27 ID:dsFeA7kX0.net
BSDベース選んだMacは正しかった

25: 腕ひしぎ十字固め(チベット自治区)@\(^o^)/ 2016/02/17(水) 19:59:36.40 ID:MX8h3DYx0.net
アップルはBSDじゃね?GPLは受け入れられないでしょ。

26: ときめきメモリアル(dion軍)@\(^o^)/ 2016/02/17(水) 20:00:08.71 ID:Du/tubtg0.net
ん、しらねわかんね

29: 稲妻レッグラリアット(長野県)@\(^o^)/ 2016/02/17(水) 20:00:23.09 ID:ud7BoEqa0.net
PS4もBSD(FreeBSD)だから安心

33: 稲妻レッグラリアット(長野県)@\(^o^)/ 2016/02/17(水) 20:03:05.35 ID:ud7BoEqa0.net
みんなyum update glibcしとけよ

37: エクスプロイダー(SB-iPhone)@\(^o^)/ 2016/02/17(水) 20:07:22.75 ID:jOOq381d0.net
>>33
コンパイルしたバイナリほっとくのん?

44: 稲妻レッグラリアット(長野県)@\(^o^)/ 2016/02/17(水) 20:13:44.76 ID:ud7BoEqa0.net
>>37
コンパイルしたバイナリは/lib/libc.soを外部参照してるだけだからほっといておk
ただし、バイナリあるいはサービスは再起動しておかないとダメよ(OS再起動の方が手っ取り早いが)

34: フロントネックロック(千葉県)@\(^o^)/ 2016/02/17(水) 20:03:12.38 ID:mYWUDXTm0.net
泥はどうなのと思ったらやっぱだめなんかい

38: 張り手(千葉県)@\(^o^)/ 2016/02/17(水) 20:07:50.27 ID:tcgOqxDS0.net
>>34
Androidはglibc使ってないのさ

40: メンマ(茸)@\(^o^)/ 2016/02/17(水) 20:09:47.79 ID:2ioiqW+E0.net
glibcがアカンのならDNSリゾルバもautoでは??

41: サソリ固め(茨城県)@\(^o^)/ 2016/02/17(水) 20:10:02.34 ID:6cQ0OGsa0.net
getaddrinfo()とか何度目だよ

ほんと糞だな

52: ドラゴンスープレックス(家)@\(^o^)/ 2016/02/17(水) 20:27:29.46 ID:uNbHCQVo0.net
ソースの使い回しはこういう危険が孕んでるからな。
Linuxサーバーなんてのはある程度、共通モジュールのアップデート手順が明確化されてるけど、
Linuxの成果物を利用してるものは多岐に及ぶからな。

こちらも読まれております。
【閲覧注意】死の直前に撮られた写真貼ってく

【画像あり】指原莉乃さんの奇跡の一枚がこちらになりますwwww

一日3時間睡眠に体を慣らした結果wwwwwwwwwwwwwwww


【衝撃】極限までお腹が空いたヒョウ、とうとうアレを食べる。

人間の痛みランキングが発表wwwwwwwwww

ガキにコーラをぶっかけられて、DQN親『すぅいませぇ~んww子どものしたことだからぁ~ww』私「それで済むと思ってるんですか?」→結果www


【閲覧注意】オーストラリアの危険過ぎる生き物たち 前編


顎ヒゲをピンセットで抜いてる奴wwwwwwww

【画像】東京凄すぎワロタwwwwwww


韓国人「韓服を着たロシアの白人女をご覧ください」→「韓服に罪はなかった…」

【薬漬け】清原和博・・・常習者の7倍の覚せい剤反応・・・「常人なら心臓麻痺を起こすレベル」【画像あり】

この記事が気に入ったら
いいね!しよう

 

コメント一覧

1. 名無し隊員さん  2016年02月18日 19:26
また、きじゃくせいか。
2. a  2016年02月18日 19:32
libcでかすぎ。
ネットワーク関係は分離しろや。
安全性のためにも。
3. 名無しさん  2016年02月18日 20:39
iphoneは2038年問題で終わったしw
4. 名無し隊員さん  2016年02月18日 21:09
くっっっそ有名な関数から脆弱性見つかったな
大丈夫かよ
5. 名無し隊員さん  2016年02月19日 01:12
google と 赤帽 の研究者が暇に任せて突っ付きまくって、
これ言わなきゃわかんねえことだろ?
影響が大きいんだから黙ってりゃいいのに。
google は何なの?余計な改悪アップデートしかしないし
6. 名無し隊員さん  2016年02月19日 02:15
サイヤ人の尻尾的確すぎwww

コメントする

名前
 
  絵文字