読者です 読者をやめる 読者になる 読者になる

HYLOGICS

今後は各分室にコンテンツを移して、ここは雑記や暮らしを中心としたライフログ的な何かにしていく予定です。

【作業メモ】glibcの脆弱性 CVE-2015-7547の対応

概要

JVNVU#97236594: glibc にバッファオーバーフローの脆弱性

「glibc」ライブラリに脆弱性、Linuxの大部分に深刻な影響 - ITmedia エンタープライズ

Google Online Security Blog: CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow

Carlos O'Donell - [PATCH] CVE-2015-7547 --- glibc getaddrinfo() stack-based buffer overflo

glibcで「getaddrinfo()」ライブラリ機能が使われた際に、スタックベースのバッファオーバーフロー脆弱性が誘発される

影響範囲

glibc 2.9 から 2.22 まで

調査

[kirine@office ~]$ rpm -qv glibc
glibc-2.17-106.el7_2.1.x86_64
glibc-2.17-106.el7_2.1.i686

影響あり

対応

既にパッチが提供されているので普通にアップデートすればよい。可能であれば再起動もしておきたいところ。

[CentOS-announce] CESA-2016:0176 Critical CentOS 7 glibc Security Update

[CentOS-announce] CESA-2016:0175 Critical CentOS 6 glibc Security Update

[kirine@office ~]$ sudo yum update glibc
[sudo] password for kirine: 
読み込んだプラグイン:fastestmirror, langpacks
Loading mirror speeds from cached hostfile
 * base: ftp.iij.ad.jp
 * epel: ftp.riken.jp
 * extras: ftp.iij.ad.jp
 * updates: ftp.iij.ad.jp
依存性の解決をしています
--> トランザクションの確認を実行しています。
---> パッケージ glibc.i686 0:2.17-106.el7_2.1 を 更新
--> 依存性の処理をしています: glibc = 2.17-106.el7_2.1 のパッケージ: glibc-headers-2.17-106.el7_2.1.x86_64
--> 依存性の処理をしています: glibc = 2.17-106.el7_2.1 のパッケージ: glibc-common-2.17-106.el7_2.1.x86_64
--> 依存性の処理をしています: glibc = 2.17-106.el7_2.1 のパッケージ: glibc-devel-2.17-106.el7_2.1.x86_64
---> パッケージ glibc.x86_64 0:2.17-106.el7_2.1 を 更新
---> パッケージ glibc.i686 0:2.17-106.el7_2.4 を アップデート
---> パッケージ glibc.x86_64 0:2.17-106.el7_2.4 を アップデート
--> トランザクションの確認を実行しています。
---> パッケージ glibc-common.x86_64 0:2.17-106.el7_2.1 を 更新
---> パッケージ glibc-common.x86_64 0:2.17-106.el7_2.4 を アップデート
---> パッケージ glibc-devel.x86_64 0:2.17-106.el7_2.1 を 更新
---> パッケージ glibc-devel.x86_64 0:2.17-106.el7_2.4 を アップデート
---> パッケージ glibc-headers.x86_64 0:2.17-106.el7_2.1 を 更新
---> パッケージ glibc-headers.x86_64 0:2.17-106.el7_2.4 を アップデート
--> 依存性解決を終了しました。

依存性を解決しました

===================================================================================================================================================================================================================
 Package                                              アーキテクチャー                              バージョン                                                リポジトリー                                    容量
===================================================================================================================================================================================================================
更新します:
 glibc                                                i686                                          2.17-106.el7_2.4                                          updates                                        4.2 M
 glibc                                                x86_64                                        2.17-106.el7_2.4                                          updates                                        3.6 M
依存性関連での更新をします:
 glibc-common                                         x86_64                                        2.17-106.el7_2.4                                          updates                                         11 M
 glibc-devel                                          x86_64                                        2.17-106.el7_2.4                                          updates                                        1.0 M
 glibc-headers                                        x86_64                                        2.17-106.el7_2.4                                          updates                                        662 k

トランザクションの要約
===================================================================================================================================================================================================================
更新  2 パッケージ (+3 個の依存関係のパッケージ)

総ダウンロード容量: 21 M
Is this ok [y/d/N]: y
Downloading packages:
updates/7/x86_64/prestodelta                                                                                                                                                                | 239 kB  00:00:00     
(1/5): glibc-2.17-106.el7_2.4.i686.rpm                                                                                                                                                      | 4.2 MB  00:00:00     
(2/5): glibc-2.17-106.el7_2.4.x86_64.rpm                                                                                                                                                    | 3.6 MB  00:00:00     
glibc-headers-2.17-106.el7_2.4 FAILED                                                      37% [==============================                                                   ] 4.1 MB/s | 7.9 MB  00:00:03 ETA 
http://mirror.us.leaseweb.net/centos/7/updates/x86_64/Packages/glibc-headers-2.17-106.el7_2.4.x86_64.rpm: [Errno 14] HTTP Error 404 - Not Found                                  ] 4.1 MB/s | 7.9 MB  00:00:03 ETA 
他のミラーを試します。
To address this issue please refer to the below knowledge base article 

https://access.redhat.com/articles/1320623

If above article doesn't help to resolve this issue please create a bug on https://bugs.centos.org/

(3/5): glibc-headers-2.17-106.el7_2.4.x86_64.rpm                                                                                                                                            | 662 kB  00:00:00     
(4/5): glibc-devel-2.17-106.el7_2.4.x86_64.rpm                                                                                                                                              | 1.0 MB  00:00:02     
(5/5): glibc-common-2.17-106.el7_2.4.x86_64.rpm                                                                                                                                             |  11 MB  00:00:23     
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
合計                                                                                                                                                                               895 kB/s |  21 MB  00:00:23     
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
  更新します              : glibc-2.17-106.el7_2.4.x86_64                                                                                                                                                     1/10 
  更新します              : glibc-common-2.17-106.el7_2.4.x86_64                                                                                                                                              2/10 
  更新します              : glibc-headers-2.17-106.el7_2.4.x86_64                                                                                                                                             3/10 
  更新します              : glibc-devel-2.17-106.el7_2.4.x86_64                                                                                                                                               4/10 
  更新します              : glibc-2.17-106.el7_2.4.i686                                                                                                                                                       5/10 
  整理中                  : glibc-devel-2.17-106.el7_2.1.x86_64                                                                                                                                               6/10 
  整理中                  : glibc-2.17-106.el7_2.1                                                                                                                                                            7/10 
  整理中                  : glibc-headers-2.17-106.el7_2.1.x86_64                                                                                                                                             8/10 
  整理中                  : glibc-2.17-106.el7_2.1                                                                                                                                                            9/10 
  整理中                  : glibc-common-2.17-106.el7_2.1.x86_64                                                                                                                                             10/10 
  検証中                  : glibc-2.17-106.el7_2.4.i686                                                                                                                                                       1/10 
  検証中                  : glibc-common-2.17-106.el7_2.4.x86_64                                                                                                                                              2/10 
  検証中                  : glibc-headers-2.17-106.el7_2.4.x86_64                                                                                                                                             3/10 
  検証中                  : glibc-devel-2.17-106.el7_2.4.x86_64                                                                                                                                               4/10 
  検証中                  : glibc-2.17-106.el7_2.4.x86_64                                                                                                                                                     5/10 
  検証中                  : glibc-common-2.17-106.el7_2.1.x86_64                                                                                                                                              6/10 
  検証中                  : glibc-2.17-106.el7_2.1.x86_64                                                                                                                                                     7/10 
  検証中                  : glibc-devel-2.17-106.el7_2.1.x86_64                                                                                                                                               8/10 
  検証中                  : glibc-headers-2.17-106.el7_2.1.x86_64                                                                                                                                             9/10 
  検証中                  : glibc-2.17-106.el7_2.1.i686                                                                                                                                                      10/10 

更新:
  glibc.i686 0:2.17-106.el7_2.4                                                                           glibc.x86_64 0:2.17-106.el7_2.4                                                                          

依存性を更新しました:
  glibc-common.x86_64 0:2.17-106.el7_2.4                                glibc-devel.x86_64 0:2.17-106.el7_2.4                                glibc-headers.x86_64 0:2.17-106.el7_2.4                               

完了しました!

[kirine@office ~]$ rpm -qv glibc
glibc-2.17-106.el7_2.4.x86_64
glibc-2.17-106.el7_2.4.i686

[kirine@office ~]$ rpm -q --changelog glibc | head
* 金  2月 05 2016 Florian Weimer <fweimer@redhat.com> - 2.17-106.4
- Revert problematic libresolv change, not needed for the
  CVE-2015-7547 fix (#1296030).

以上