getaddrinfo() 脆弱性に対する Glibc パッチ

Question

よくサポートされているディストリビューションを使用している場合は、元のパッチ自体は必要ありません。ほとんどのディストリビューションは現在libcを更新し、それをリポジトリにプッシュしました。パッケージマネージャを使用してlibcをアップグレードするだけです。（これまでにそうしなかった場合は、ディストリビューションの移行を真剣に検討してください。）これは確かにAmazon Linuxの場合です。 ~からセキュリティ勧告:

[C]AWS以外のDNSインフラストラクチャを使用するように設定を変更したAmazon EC2を使用しているお客様は、Linuxディストリビューションが提供する指示に従ってLinux環境を即座に更新する必要があります。 AWS DNSインフラストラクチャを使用しているEC2のお客様は影響を受けず、いかなる措置も取る必要はありません。

AWSではなくDNSインフラストラクチャを使用するように設定を変更したAmazon Linuxを使用しているAmazon EC2のお客様の場合：

CVE-2015-7547の修正は、重大度評価が「緊急」としてAmazon Linux AMIリポジトリにプッシュされました。 2016年2月16日以降にデフォルトのAmazon Linux設定を使用して起動されたインスタンスには、このCVEに必要な修正が自動的に含まれます。

パッチを確認するには、次diff --git a/resolv/nss_dns/dns-host.c b/resolv/nss_dns/dns-host.cから始まるEメールセクションを見てください。

CVE-2015-7547

2016-02-15  Carlos O'Donell  

    [BZ #18665]
    * resolv/nss_dns/dns-host.c (gaih_getanswer_slice): Always set
    *herrno_p.
    (gaih_getanswer): Document functional behviour. Return tryagain
    if any result is tryagain.
    * resolv/res_query.c (__libc_res_nsearch): Set buffer size to zero
    when freed.
    * resolv/res_send.c: Add copyright text.
    (__libc_res_nsend): Document that MAXPACKET is expected.
    (send_vc): Document. Remove buffer reuse.
    (send_dg): Document. Remove buffer reuse. Set *thisanssizp to set the
    size of the buffer. Add Dprint for truncated UDP buffer.

diff --git a/resolv/nss_dns/dns-host.c b/resolv/nss_dns/dns-host.c
index a255d5e..47cfe27 100644
--- a/resolv/nss_dns/dns-host.c
+++ b/resolv/nss_dns/dns-host.c
@@ -1031,7 +1031,10 @@ gaih_getanswer_slice (const querybuf *answer, int anslen, const char *qname,
   int h_namelen = 0;

   if (ancount == 0)
-    return NSS_STATUS_NOTFOUND;
+    {
+      *h_errnop = HOST_NOT_FOUND;
+      return NSS_STATUS_NOTFOUND;
+    }

...

Answer 1

よくサポートされているディストリビューションを使用している場合は、元のパッチ自体は必要ありません。ほとんどのディストリビューションは現在libcを更新し、それをリポジトリにプッシュしました。パッケージマネージャを使用してlibcをアップグレードするだけです。（これまでにそうしなかった場合は、ディストリビューションの移行を真剣に検討してください。）これは確かにAmazon Linuxの場合です。 ~からセキュリティ勧告:

[C]AWS以外のDNSインフラストラクチャを使用するように設定を変更したAmazon EC2を使用しているお客様は、Linuxディストリビューションが提供する指示に従ってLinux環境を即座に更新する必要があります。 AWS DNSインフラストラクチャを使用しているEC2のお客様は影響を受けず、いかなる措置も取る必要はありません。

AWSではなくDNSインフラストラクチャを使用するように設定を変更したAmazon Linuxを使用しているAmazon EC2のお客様の場合：

CVE-2015-7547の修正は、重大度評価が「緊急」としてAmazon Linux AMIリポジトリにプッシュされました。 2016年2月16日以降にデフォルトのAmazon Linux設定を使用して起動されたインスタンスには、このCVEに必要な修正が自動的に含まれます。

パッチを確認するには、次diff --git a/resolv/nss_dns/dns-host.c b/resolv/nss_dns/dns-host.cから始まるEメールセクションを見てください。

CVE-2015-7547

2016-02-15  Carlos O'Donell  

    [BZ #18665]
    * resolv/nss_dns/dns-host.c (gaih_getanswer_slice): Always set
    *herrno_p.
    (gaih_getanswer): Document functional behviour. Return tryagain
    if any result is tryagain.
    * resolv/res_query.c (__libc_res_nsearch): Set buffer size to zero
    when freed.
    * resolv/res_send.c: Add copyright text.
    (__libc_res_nsend): Document that MAXPACKET is expected.
    (send_vc): Document. Remove buffer reuse.
    (send_dg): Document. Remove buffer reuse. Set *thisanssizp to set the
    size of the buffer. Add Dprint for truncated UDP buffer.

diff --git a/resolv/nss_dns/dns-host.c b/resolv/nss_dns/dns-host.c
index a255d5e..47cfe27 100644
--- a/resolv/nss_dns/dns-host.c
+++ b/resolv/nss_dns/dns-host.c
@@ -1031,7 +1031,10 @@ gaih_getanswer_slice (const querybuf *answer, int anslen, const char *qname,
   int h_namelen = 0;

   if (ancount == 0)
-    return NSS_STATUS_NOTFOUND;
+    {
+      *h_errnop = HOST_NOT_FOUND;
+      return NSS_STATUS_NOTFOUND;
+    }

...

getaddrinfo() 脆弱性に対する Glibc パッチ

ベストアンサー1

おすすめ記事