-
- いいね!5
Yasuhiro Morishita
@OrangeMorishita
フルリゾルバーがそういう応答を返さなければ、あるいはそういう応答を返さないようにすれば、とりあえずは回避できるということですね。 twitter.com/n_soda/status/…
2016-02-18 01:04:24
SODA Noriyuki
@n_soda
@OrangeMorishita あとはcache DNSサーバが止めてくれるので、実は影響範囲がわりと狭そう twitter.com/kunitake/statu… twitter.com/kunitake/statu… twitter.com/kunitake/statu… という話もありました
2016-02-18 01:01:09
Yasuhiro Morishita
@OrangeMorishita
(承前)だとすると企業内などエンタープライズネットワークではOP53Bを適用して、外のフルリゾルバーを使えないようにするなどが必要になりますね。
2016-02-18 01:06:05
SODA Noriyuki
@n_soda
@OrangeMorishita はい。そうじゃないと(組織内のDNSを外部と完全に切り離してない限りは)ファイアウォールの内側も含めて全更新しないとヤバいわけで、超大事になりますよね。このあたり、公式に検証とアナウンスがあると、助かる組織は多そうです。
2016-02-18 01:08:08
K.Namba/(お菓子|おやつ)エバンジェリストDX🍩
@ipv6labs
strace で getaddrinfo() で見える訳じゃないので、どのソースの中に混じってるのか調べる所からでは とか思って、どうでもいいや ってなる。
2016-02-18 01:08:19
ふみやす@シェルまおう(自称でない)
@satoh_fumiyasu
find /lib* -name "libc.so.*" -exec sh -c 'for p in "$@";do echo "$p:";"$p" |grep "^GNU C Library stable release version ";echo;done' sh {} +
2016-02-18 01:14:46
hito
@_hito_
まあASLRはいまどきたいていの環境で有効なはずなので、ヤバいのはこの問題を踏む可能性がありつつASLR効いてないびみょーに古い環境だけだろうという気はする。
2016-02-18 01:14:49
Yoshibumi SUEMATSU
@yo_suematsu
CVE-2015-7547のMitigationについては下記も参考に。 access.redhat.com/articles/21614…
2016-02-18 01:14:53
Yasuhiro Morishita
@OrangeMorishita
【自分用メモ】Red Hat公式の注意喚起。// Critical security flaw: glibc stack-based buffer overflow in getaddrinfo() (CVE-2015-7547) access.redhat.com/articles/21614…
2016-02-18 01:18:13
Yoshibumi SUEMATSU
@yo_suematsu
@yo_suematsu CVE-2015-7547 FAQより。 2. Can a trusted DNS resolver protect against this issue? answerは長いので省略。 access.redhat.com/articles/21614…
2016-02-18 01:18:51
piyokango
@piyokango
“CVE-2015-7547 glibcのgetaddrinfo に stack buffer overflow の脆弱性” htn.to/GXmK4kz
2016-02-18 01:19:18
SODA Noriyuki
@n_soda
うーん、これだとTCPが使われるとcache DNSサーバー介してても駄目って読めるなあ。PoCの奴はDNS的に変な応答だったからcache DNSサーバー介せば大丈夫だったけど、正しくてでかくて攻略可能な応答がありうるってことかな twitter.com/yo_suematsu/st…
2016-02-18 01:19:42
Yasuhiro Morishita
@OrangeMorishita
.@yo_suematsu ううむ、、、。> cannot mitigate this issue because potential exploits could involve syntactically well-formed DNS responses.
2016-02-18 01:21:45
SODA Noriyuki
@n_soda
信頼できるresolver経由しててもヤバいよって、明確に書いてありますね。PoCのケースで大丈夫だったからって安心しちゃダメだと。 twitter.com/yo_suematsu/st…
2016-02-18 01:22:24
SODA Noriyuki
@n_soda
@_hito_ はい。これは結構辛い。まあ弊社ネットワークの社内DNSは完全に外と切り離されてるので大丈夫なんですが。
2016-02-18 01:23:22
Yasuhiro Morishita
@OrangeMorishita
単にglibcのバージョンを調べるだけなら、昼間教えてもらった /lib/libc.so.6 を実行するのが一番手っ取り早いような。 twitter.com/satoh_fumiyasu…
2016-02-18 01:24:16
Yoshibumi SUEMATSU
@yo_suematsu
@n_soda ですです。 公開されているcve-2015-7547のPoCを検証した結果で影響がなかったとしても安心できないのかなと思いまして。
2016-02-18 01:26:21
Yasuhiro Morishita
@OrangeMorishita
Nasneか。。 twitter.com/tsaka1/status/…
2016-02-18 01:26:23
Tetsuo Sakaguchi
@tsaka1
ふっふっふっふ:-) RT: Open Source Software used in nasne doc.dl.playstation.net/doc/nasne-oss/
2016-02-18 01:25:21
K.Namba/(お菓子|おやつ)エバンジェリストDX🍩
@ipv6labs
@OrangeMorishita そうなんだけど、RHEL だとバックポートだからバージョン情報だとダメじゃない? (いつも説明が面倒なところ・・・
2016-02-18 01:27:54
Yasuhiro Morishita
@OrangeMorishita
そうですね。BINDもそうです。出てくるバージョンが古くてもパッチは適用されている場合があるという。 twitter.com/ipv6labs/statu…
2016-02-18 01:28:41
K.Namba/(お菓子|おやつ)エバンジェリストDX🍩
@ipv6labs
@OrangeMorishita Apache とかも。 脆弱性スキャナはバックポート判定できないからバージョン見えると、レポに記載してしまう。(´ω`)
2016-02-18 01:30:27
Yasuhiro Morishita
@OrangeMorishita
.@_hito_ @n_soda Googleの方が書いたブログに、簡単じゃないけどできたって書いてあるので、きっと何かあるのではないかと。
2016-02-18 01:32:47