情報処理推進機構とJPCERT コーディネーションセンターは1月28日、多数のLinuxディストリビューションで利用されているGNU Cライブラリ(glibc)にバッファオーバーフローの脆弱性が発見されたとして注意を呼び掛けた。脆弱性を悪用された場合、リモートから任意のコードを実行されてしまう恐れがある。
脆弱性を報告した米セキュリティ企業のQualysによると、脆弱性は「nss_hostname_digits_dots()」関数に起因し、2000年にリリースされたglibc 2.2から2.17までに存在する。細工されたホスト名を「gethostbyname」などの関数の引数に渡すことで、バッファオーバーフローを誘発されてしまう。
glibcは様々なLinuxディストリビューションで利用されており、広範な製品に影響が及ぶとみられる。既にRed HatやDebian、Ubuntsu、CentOS、SUSE Linuxがセキュリティアップデートを公開して、今回の脆弱性に対処している。
なお開発元のGNUプロジェクトは、2013年にリリースしたglibc 2.18の時点で、今回の脆弱性を既に修正していたもようだ。Qualysによれば、「この脆弱性がセキュリティ上の問題だと認識されなかったため、各ディストリビューションでの対応が遅れた」と指摘している。
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.