github.com/t0r0t0r0/CVE-2… github.com/t0r0t0r0/CVE-2… 落ちたり落ちなかったり
2016-02-17 23:15:44The fix for CVE-2015-7547 is available. I have released @vagrantup @virtualbox #centos 6 box atlas.hashicorp.com/jhcook/boxes/c… twitter.com/mattiasgeniar/…
2016-02-17 23:22:40CVE-2015-7547 エクスプロイト試したけど、未パッチだとセグフォル、パッチ適用済みだとデフォルトの foo.bar.google.com 無いから NXDOMAIN で OK だよね?
2016-02-17 23:48:47【自分用メモ】Linuxの「glibc」ライブラリに脆弱性で修正パッチ配布、iOS/Androidでの被害は限定的か -INTERNET Watch internet.watch.impress.co.jp/docs/news/2016… @internet_watchさんから
2016-02-17 23:49:10VyOS, glibc vulnerability (CVE-2015-7547) の修正入ったメンテナンス版がリリースされたようで。早いな。 twitter.com/vyos_dev/statu…
2016-02-17 23:50:501.1.7 maintenance release - 1.1.7 maintenance release is available for download:... tmblr.co/ZBB0Bq21vzTnQ
2016-02-17 23:45:02pythonスクリプトがポート53なので、rootで動かさないといけない。 gethostinfo() は resolv.conf 見るだけ? っぽく、ユーザ権限でさらっとテストできないのが辛い。 nameserver 127.0.0.1 も書かないといけないし(一部通信が止まる
2016-02-17 23:50:56SANS ISCの原文は確かにそうなっていて、OS標準のgetaddrinfo()に替えてglibc由来のを使っていればそうなるけど、それはもうOSではなくそのアプリの脆弱性ではないかと。> OSXやiOSもglibcは使用していないが、アプリ次第では影響が出るとしている。
2016-02-17 23:55:29DNS が主だったトリガなだけで、そこだけ注視しても脇からやられね? という気はしてる。
2016-02-18 00:12:05EDNS0 と TCP での DNS やめたら っていうコメントを見たりして、 うーんって感じがしてる。
2016-02-18 00:13:52今回のCVE-2015-7547はglibcライブラリの脆弱性で、glibcは数多くのLinuxディストリビューションのOS標準Cライブラリで、それらLinuxベースで数多くの組み込み(アプライアンス)製品が作られ、それらのOS/製品すべてに影響が及ぶ可能性があると。
2016-02-18 00:39:23(承前)で、AndroidはLinuxベースだが標準Cライブラリとしてglibcではないものが組み込まれており、またiOSとOS XはそもそもLinuxベースではなく、かつ標準Cライブラリがglibcではないため、アプリがglibcを独自に組み込んでいない限り、影響の対象外と。
2016-02-18 00:42:32(承前)ということで今回のはglibcライブラリの脆弱性なので、OSがLinuxでもglibcを標準Cライブラリにしていないディストリビューションは対象外だし(あるかどうか知らない)、OSがLinuxでなくてもglibcを組み込んでいるアプリやシステムがあれば、対象になりうる。
2016-02-18 00:46:19@OrangeMorishita はい。アプリ独自ってのはゼロである可能性が高いと思います。世の中広いので断言できませんが。 それよりは、*BSD上でLinuxエミュレーションでLinuxのアプリを動かす場合とかに言及した方がいいかと。こちらは当然glibcをそのまんま使うので。
2016-02-18 00:53:25@OrangeMorishita getinfoaddr() 呼ばない環境なら たぶん大丈夫だと思うんですよ。 Linux って DNS をネームサービスから消せるのかな? hosts ファイルだけだと getinfoaddr() 呼ばない? とか色々分ってない事もあります。
2016-02-18 00:53:46おお、*BSDのLinuxエミュレーションは確かに影響を受けますね。 twitter.com/n_soda/status/…
2016-02-18 00:54:31探す $ find /lib* -name libc.so.* | \ xargs -I{} -P1 -n1 bash -c "echo {}: ; {} | \ grep \"^GNU C Library stable release version \" ; echo ''"
2016-02-18 00:57:29思いつくところでは各種ネットワークアプライアンス製品やホームルーター、あと、サイエンスZEROに出ていたドローンのような組み込み機器もですかね。 twitter.com/tsaka1/status/…
2016-02-18 00:57:54個人的には、表立ってサーバや計算機っぽくないけどLinuxを使っている機器の方がやっぱりヤバイ気がするが、、。国内各メーカのNASなどは大丈夫だろうか?
2016-02-18 00:56:03依存してるライブラリの抽出例: $ find /usr/*bin/ -type f | xargs -I{} -P1 -n1 bash -c \ "ldd {} 2>&1 | grep libc\.so\.6 > /dev/null 2>&1 && ls {}"
2016-02-18 00:58:16@OrangeMorishita あとはcache DNSサーバが止めてくれるので、実は影響範囲がわりと狭そう twitter.com/kunitake/statu… twitter.com/kunitake/statu… twitter.com/kunitake/statu… という話もありました
2016-02-18 01:01:09@tss_ontap とりあえず手元の unboundに関しては、この手の応答はクライアント側には返さないことを確認しました。ご指摘の通り、案外影響は限定的かもしれませんね
2016-02-17 15:57:24とりあえず簡単だけどまとめておいた……けど脆弱性の説明はしてない> "CVE-2015-7547 glibcのgetaddrinfo に stack buffer overflow の脆弱性" kunitake.org/chalow/2016-02… @kunitakeさんから
2016-02-17 19:34:07.@tsaka1 名前引いて答えもらうやつはだめだと思うので、NATの裏側にいても外の名前を引いているものは影響が及ぶ可能性がありますね。
2016-02-18 01:01:52例のglibcの問題、組織内のフルリゾルバだけ対策しときゃええって問題なのかんね? the internetの向こう側の得体の知れないフルリゾルバ指定されたホストとかいないといいですね、とか思ってる(たとえば8.8.8.8)
2016-02-18 01:04:00