-
- いいね!5
t0r0
@t0r0_twit
github.com/t0r0t0r0/CVE-2… github.com/t0r0t0r0/CVE-2… 落ちたり落ちなかったり
2016-02-17 23:15:44
Justin Cook (he/him)
@linuxdaddy
The fix for CVE-2015-7547 is available. I have released @vagrantup @virtualbox #centos 6 box atlas.hashicorp.com/jhcook/boxes/c… twitter.com/mattiasgeniar/…
2016-02-17 23:22:40
K.Namba/(お菓子|おやつ)エバンジェリストDX🍩
@ipv6labs
CVE-2015-7547 エクスプロイト試したけど、未パッチだとセグフォル、パッチ適用済みだとデフォルトの foo.bar.google.com 無いから NXDOMAIN で OK だよね?
2016-02-17 23:48:47
Yasuhiro Morishita
@OrangeMorishita
【自分用メモ】Linuxの「glibc」ライブラリに脆弱性で修正パッチ配布、iOS/Androidでの被害は限定的か -INTERNET Watch internet.watch.impress.co.jp/docs/news/2016… @internet_watchさんから
2016-02-17 23:49:10
Kentaro Ebisawa
@ebiken
VyOS, glibc vulnerability (CVE-2015-7547) の修正入ったメンテナンス版がリリースされたようで。早いな。 twitter.com/vyos_dev/statu…
2016-02-17 23:50:50
VyOS
@vyos_dev
1.1.7 maintenance release - 1.1.7 maintenance release is available for download:... tmblr.co/ZBB0Bq21vzTnQ
2016-02-17 23:45:02
K.Namba/(お菓子|おやつ)エバンジェリストDX🍩
@ipv6labs
pythonスクリプトがポート53なので、rootで動かさないといけない。 gethostinfo() は resolv.conf 見るだけ? っぽく、ユーザ権限でさらっとテストできないのが辛い。 nameserver 127.0.0.1 も書かないといけないし(一部通信が止まる
2016-02-17 23:50:56
Yasuhiro Morishita
@OrangeMorishita
SANS ISCの原文は確かにそうなっていて、OS標準のgetaddrinfo()に替えてglibc由来のを使っていればそうなるけど、それはもうOSではなくそのアプリの脆弱性ではないかと。> OSXやiOSもglibcは使用していないが、アプリ次第では影響が出るとしている。
2016-02-17 23:55:29
K.Namba/(お菓子|おやつ)エバンジェリストDX🍩
@ipv6labs
DNS が主だったトリガなだけで、そこだけ注視しても脇からやられね? という気はしてる。
2016-02-18 00:12:05
K.Namba/(お菓子|おやつ)エバンジェリストDX🍩
@ipv6labs
EDNS0 と TCP での DNS やめたら っていうコメントを見たりして、 うーんって感じがしてる。
2016-02-18 00:13:52
Yasuhiro Morishita
@OrangeMorishita
今回のCVE-2015-7547はglibcライブラリの脆弱性で、glibcは数多くのLinuxディストリビューションのOS標準Cライブラリで、それらLinuxベースで数多くの組み込み(アプライアンス)製品が作られ、それらのOS/製品すべてに影響が及ぶ可能性があると。
2016-02-18 00:39:23
Yasuhiro Morishita
@OrangeMorishita
(承前)で、AndroidはLinuxベースだが標準Cライブラリとしてglibcではないものが組み込まれており、またiOSとOS XはそもそもLinuxベースではなく、かつ標準Cライブラリがglibcではないため、アプリがglibcを独自に組み込んでいない限り、影響の対象外と。
2016-02-18 00:42:32
Yasuhiro Morishita
@OrangeMorishita
(承前)ということで今回のはglibcライブラリの脆弱性なので、OSがLinuxでもglibcを標準Cライブラリにしていないディストリビューションは対象外だし(あるかどうか知らない)、OSがLinuxでなくてもglibcを組み込んでいるアプリやシステムがあれば、対象になりうる。
2016-02-18 00:46:19
SODA Noriyuki
@n_soda
@OrangeMorishita はい。アプリ独自ってのはゼロである可能性が高いと思います。世の中広いので断言できませんが。 それよりは、*BSD上でLinuxエミュレーションでLinuxのアプリを動かす場合とかに言及した方がいいかと。こちらは当然glibcをそのまんま使うので。
2016-02-18 00:53:25
K.Namba/(お菓子|おやつ)エバンジェリストDX🍩
@ipv6labs
@OrangeMorishita getinfoaddr() 呼ばない環境なら たぶん大丈夫だと思うんですよ。 Linux って DNS をネームサービスから消せるのかな? hosts ファイルだけだと getinfoaddr() 呼ばない? とか色々分ってない事もあります。
2016-02-18 00:53:46
Yasuhiro Morishita
@OrangeMorishita
おお、*BSDのLinuxエミュレーションは確かに影響を受けますね。 twitter.com/n_soda/status/…
2016-02-18 00:54:31
K.Namba/(お菓子|おやつ)エバンジェリストDX🍩
@ipv6labs
探す $ find /lib* -name libc.so.* | \ xargs -I{} -P1 -n1 bash -c "echo {}: ; {} | \ grep \"^GNU C Library stable release version \" ; echo ''"
2016-02-18 00:57:29
Yasuhiro Morishita
@OrangeMorishita
思いつくところでは各種ネットワークアプライアンス製品やホームルーター、あと、サイエンスZEROに出ていたドローンのような組み込み機器もですかね。 twitter.com/tsaka1/status/…
2016-02-18 00:57:54
Tetsuo Sakaguchi
@tsaka1
個人的には、表立ってサーバや計算機っぽくないけどLinuxを使っている機器の方がやっぱりヤバイ気がするが、、。国内各メーカのNASなどは大丈夫だろうか?
2016-02-18 00:56:03
K.Namba/(お菓子|おやつ)エバンジェリストDX🍩
@ipv6labs
依存してるライブラリの抽出例: $ find /usr/*bin/ -type f | xargs -I{} -P1 -n1 bash -c \ "ldd {} 2>&1 | grep libc\.so\.6 > /dev/null 2>&1 && ls {}"
2016-02-18 00:58:16
SODA Noriyuki
@n_soda
@OrangeMorishita あとはcache DNSサーバが止めてくれるので、実は影響範囲がわりと狭そう twitter.com/kunitake/statu… twitter.com/kunitake/statu… twitter.com/kunitake/statu… という話もありました
2016-02-18 01:01:09
kunitake
@kunitake
@tss_ontap とりあえず手元の unboundに関しては、この手の応答はクライアント側には返さないことを確認しました。ご指摘の通り、案外影響は限定的かもしれませんね
2016-02-17 15:57:24
kunitake
@kunitake
とりあえず簡単だけどまとめておいた……けど脆弱性の説明はしてない> "CVE-2015-7547 glibcのgetaddrinfo に stack buffer overflow の脆弱性" kunitake.org/chalow/2016-02… @kunitakeさんから
2016-02-17 19:34:07
Yasuhiro Morishita
@OrangeMorishita
.@tsaka1 名前引いて答えもらうやつはだめだと思うので、NATの裏側にいても外の名前を引いているものは影響が及ぶ可能性がありますね。
2016-02-18 01:01:52
えむばーど
@m_bird
例のglibcの問題、組織内のフルリゾルバだけ対策しときゃええって問題なのかんね? the internetの向こう側の得体の知れないフルリゾルバ指定されたホストとかいないといいですね、とか思ってる(たとえば8.8.8.8)
2016-02-18 01:04:00