【作業メモ】glibcの脆弱性 CVE-2015-7547の対応
概要
JVNVU#97236594: glibc にバッファオーバーフローの脆弱性
「glibc」ライブラリに脆弱性、Linuxの大部分に深刻な影響 - ITmedia エンタープライズ
Google Online Security Blog: CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow
Carlos O'Donell - [PATCH] CVE-2015-7547 --- glibc getaddrinfo() stack-based buffer overflo
glibcで「getaddrinfo()」ライブラリ機能が使われた際に、スタックベースのバッファオーバーフローの脆弱性が誘発される
影響範囲
glibc 2.9 から 2.22 まで
調査
[kirine@office ~]$ rpm -qv glibc glibc-2.17-106.el7_2.1.x86_64 glibc-2.17-106.el7_2.1.i686
影響あり
対応
既にパッチが提供されているので普通にアップデートすればよい。可能であれば再起動もしておきたいところ。
[CentOS-announce] CESA-2016:0176 Critical CentOS 7 glibc Security Update
[CentOS-announce] CESA-2016:0175 Critical CentOS 6 glibc Security Update
[kirine@office ~]$ sudo yum update glibc [sudo] password for kirine: 読み込んだプラグイン:fastestmirror, langpacks Loading mirror speeds from cached hostfile * base: ftp.iij.ad.jp * epel: ftp.riken.jp * extras: ftp.iij.ad.jp * updates: ftp.iij.ad.jp 依存性の解決をしています --> トランザクションの確認を実行しています。 ---> パッケージ glibc.i686 0:2.17-106.el7_2.1 を 更新 --> 依存性の処理をしています: glibc = 2.17-106.el7_2.1 のパッケージ: glibc-headers-2.17-106.el7_2.1.x86_64 --> 依存性の処理をしています: glibc = 2.17-106.el7_2.1 のパッケージ: glibc-common-2.17-106.el7_2.1.x86_64 --> 依存性の処理をしています: glibc = 2.17-106.el7_2.1 のパッケージ: glibc-devel-2.17-106.el7_2.1.x86_64 ---> パッケージ glibc.x86_64 0:2.17-106.el7_2.1 を 更新 ---> パッケージ glibc.i686 0:2.17-106.el7_2.4 を アップデート ---> パッケージ glibc.x86_64 0:2.17-106.el7_2.4 を アップデート --> トランザクションの確認を実行しています。 ---> パッケージ glibc-common.x86_64 0:2.17-106.el7_2.1 を 更新 ---> パッケージ glibc-common.x86_64 0:2.17-106.el7_2.4 を アップデート ---> パッケージ glibc-devel.x86_64 0:2.17-106.el7_2.1 を 更新 ---> パッケージ glibc-devel.x86_64 0:2.17-106.el7_2.4 を アップデート ---> パッケージ glibc-headers.x86_64 0:2.17-106.el7_2.1 を 更新 ---> パッケージ glibc-headers.x86_64 0:2.17-106.el7_2.4 を アップデート --> 依存性解決を終了しました。 依存性を解決しました =================================================================================================================================================================================================================== Package アーキテクチャー バージョン リポジトリー 容量 =================================================================================================================================================================================================================== 更新します: glibc i686 2.17-106.el7_2.4 updates 4.2 M glibc x86_64 2.17-106.el7_2.4 updates 3.6 M 依存性関連での更新をします: glibc-common x86_64 2.17-106.el7_2.4 updates 11 M glibc-devel x86_64 2.17-106.el7_2.4 updates 1.0 M glibc-headers x86_64 2.17-106.el7_2.4 updates 662 k トランザクションの要約 =================================================================================================================================================================================================================== 更新 2 パッケージ (+3 個の依存関係のパッケージ) 総ダウンロード容量: 21 M Is this ok [y/d/N]: y Downloading packages: updates/7/x86_64/prestodelta | 239 kB 00:00:00 (1/5): glibc-2.17-106.el7_2.4.i686.rpm | 4.2 MB 00:00:00 (2/5): glibc-2.17-106.el7_2.4.x86_64.rpm | 3.6 MB 00:00:00 glibc-headers-2.17-106.el7_2.4 FAILED 37% [============================== ] 4.1 MB/s | 7.9 MB 00:00:03 ETA http://mirror.us.leaseweb.net/centos/7/updates/x86_64/Packages/glibc-headers-2.17-106.el7_2.4.x86_64.rpm: [Errno 14] HTTP Error 404 - Not Found ] 4.1 MB/s | 7.9 MB 00:00:03 ETA 他のミラーを試します。 To address this issue please refer to the below knowledge base article https://access.redhat.com/articles/1320623 If above article doesn't help to resolve this issue please create a bug on https://bugs.centos.org/ (3/5): glibc-headers-2.17-106.el7_2.4.x86_64.rpm | 662 kB 00:00:00 (4/5): glibc-devel-2.17-106.el7_2.4.x86_64.rpm | 1.0 MB 00:00:02 (5/5): glibc-common-2.17-106.el7_2.4.x86_64.rpm | 11 MB 00:00:23 ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 合計 895 kB/s | 21 MB 00:00:23 Running transaction check Running transaction test Transaction test succeeded Running transaction 更新します : glibc-2.17-106.el7_2.4.x86_64 1/10 更新します : glibc-common-2.17-106.el7_2.4.x86_64 2/10 更新します : glibc-headers-2.17-106.el7_2.4.x86_64 3/10 更新します : glibc-devel-2.17-106.el7_2.4.x86_64 4/10 更新します : glibc-2.17-106.el7_2.4.i686 5/10 整理中 : glibc-devel-2.17-106.el7_2.1.x86_64 6/10 整理中 : glibc-2.17-106.el7_2.1 7/10 整理中 : glibc-headers-2.17-106.el7_2.1.x86_64 8/10 整理中 : glibc-2.17-106.el7_2.1 9/10 整理中 : glibc-common-2.17-106.el7_2.1.x86_64 10/10 検証中 : glibc-2.17-106.el7_2.4.i686 1/10 検証中 : glibc-common-2.17-106.el7_2.4.x86_64 2/10 検証中 : glibc-headers-2.17-106.el7_2.4.x86_64 3/10 検証中 : glibc-devel-2.17-106.el7_2.4.x86_64 4/10 検証中 : glibc-2.17-106.el7_2.4.x86_64 5/10 検証中 : glibc-common-2.17-106.el7_2.1.x86_64 6/10 検証中 : glibc-2.17-106.el7_2.1.x86_64 7/10 検証中 : glibc-devel-2.17-106.el7_2.1.x86_64 8/10 検証中 : glibc-headers-2.17-106.el7_2.1.x86_64 9/10 検証中 : glibc-2.17-106.el7_2.1.i686 10/10 更新: glibc.i686 0:2.17-106.el7_2.4 glibc.x86_64 0:2.17-106.el7_2.4 依存性を更新しました: glibc-common.x86_64 0:2.17-106.el7_2.4 glibc-devel.x86_64 0:2.17-106.el7_2.4 glibc-headers.x86_64 0:2.17-106.el7_2.4 完了しました! [kirine@office ~]$ rpm -qv glibc glibc-2.17-106.el7_2.4.x86_64 glibc-2.17-106.el7_2.4.i686 [kirine@office ~]$ rpm -q --changelog glibc | head * 金 2月 05 2016 Florian Weimer <fweimer@redhat.com> - 2.17-106.4 - Revert problematic libresolv change, not needed for the CVE-2015-7547 fix (#1296030).
以上
