フルリゾルバーがそういう応答を返さなければ、あるいはそういう応答を返さないようにすれば、とりあえずは回避できるということですね。 twitter.com/n_soda/status/…
2016-02-18 01:04:24@OrangeMorishita あとはcache DNSサーバが止めてくれるので、実は影響範囲がわりと狭そう twitter.com/kunitake/statu… twitter.com/kunitake/statu… twitter.com/kunitake/statu… という話もありました
2016-02-18 01:01:09(承前)だとすると企業内などエンタープライズネットワークではOP53Bを適用して、外のフルリゾルバーを使えないようにするなどが必要になりますね。
2016-02-18 01:06:05@OrangeMorishita はい。そうじゃないと(組織内のDNSを外部と完全に切り離してない限りは)ファイアウォールの内側も含めて全更新しないとヤバいわけで、超大事になりますよね。このあたり、公式に検証とアナウンスがあると、助かる組織は多そうです。
2016-02-18 01:08:08strace で getaddrinfo() で見える訳じゃないので、どのソースの中に混じってるのか調べる所からでは とか思って、どうでもいいや ってなる。
2016-02-18 01:08:19find /lib* -name "libc.so.*" -exec sh -c 'for p in "$@";do echo "$p:";"$p" |grep "^GNU C Library stable release version ";echo;done' sh {} +
2016-02-18 01:14:46まあASLRはいまどきたいていの環境で有効なはずなので、ヤバいのはこの問題を踏む可能性がありつつASLR効いてないびみょーに古い環境だけだろうという気はする。
2016-02-18 01:14:49CVE-2015-7547のMitigationについては下記も参考に。 access.redhat.com/articles/21614…
2016-02-18 01:14:53【自分用メモ】Red Hat公式の注意喚起。// Critical security flaw: glibc stack-based buffer overflow in getaddrinfo() (CVE-2015-7547) access.redhat.com/articles/21614…
2016-02-18 01:18:13@yo_suematsu CVE-2015-7547 FAQより。 2. Can a trusted DNS resolver protect against this issue? answerは長いので省略。 access.redhat.com/articles/21614…
2016-02-18 01:18:51“CVE-2015-7547 glibcのgetaddrinfo に stack buffer overflow の脆弱性” htn.to/GXmK4kz
2016-02-18 01:19:18うーん、これだとTCPが使われるとcache DNSサーバー介してても駄目って読めるなあ。PoCの奴はDNS的に変な応答だったからcache DNSサーバー介せば大丈夫だったけど、正しくてでかくて攻略可能な応答がありうるってことかな twitter.com/yo_suematsu/st…
2016-02-18 01:19:42.@yo_suematsu ううむ、、、。> cannot mitigate this issue because potential exploits could involve syntactically well-formed DNS responses.
2016-02-18 01:21:45信頼できるresolver経由しててもヤバいよって、明確に書いてありますね。PoCのケースで大丈夫だったからって安心しちゃダメだと。 twitter.com/yo_suematsu/st…
2016-02-18 01:22:24@_hito_ はい。これは結構辛い。まあ弊社ネットワークの社内DNSは完全に外と切り離されてるので大丈夫なんですが。
2016-02-18 01:23:22単にglibcのバージョンを調べるだけなら、昼間教えてもらった /lib/libc.so.6 を実行するのが一番手っ取り早いような。 twitter.com/satoh_fumiyasu…
2016-02-18 01:24:16@n_soda ですです。 公開されているcve-2015-7547のPoCを検証した結果で影響がなかったとしても安心できないのかなと思いまして。
2016-02-18 01:26:21Nasneか。。 twitter.com/tsaka1/status/…
2016-02-18 01:26:23ふっふっふっふ:-) RT: Open Source Software used in nasne doc.dl.playstation.net/doc/nasne-oss/
2016-02-18 01:25:21@OrangeMorishita そうなんだけど、RHEL だとバックポートだからバージョン情報だとダメじゃない? (いつも説明が面倒なところ・・・
2016-02-18 01:27:54そうですね。BINDもそうです。出てくるバージョンが古くてもパッチは適用されている場合があるという。 twitter.com/ipv6labs/statu…
2016-02-18 01:28:41@OrangeMorishita Apache とかも。 脆弱性スキャナはバックポート判定できないからバージョン見えると、レポに記載してしまう。(´ω`)
2016-02-18 01:30:27.@_hito_ @n_soda Googleの方が書いたブログに、簡単じゃないけどできたって書いてあるので、きっと何かあるのではないかと。
2016-02-18 01:32:47