CVE-2015-7547: Critical Vulnerability in glibc getaddrinfo

t0r0 @t0r0_twit

kb.netapp.com/support/index?… NetAPPはコントロール用ツールのみ影響ありなのねん。 まぁそりゃそうか

IIJ-SECT @IIJSECT

IIJ Security Diary: CVE-2015-7547 対策における信頼できるキャッシュサーバとは sect.iij.ad.jp/d/2016/02/2252… @IIJSECT

堂前@IIJ @IIJ_doumae

glibcの脆弱性(CVE-2015-7547)の回避方法について補足記事を公開。脆弱性回避に利用できる「信頼できるDNSキャッシュサーバ」の条件と、IIJ-SECTが調査した実装一覧です。 信頼できるDNSキャッシュサーバとは sect.iij.ad.jp/d/2016/02/2252…

堂前@IIJ @IIJ_doumae

glibcの脆弱性(CVE-2015-7547)について、単純なDNSフォワーダの介在では脆弱性の防御にならないケースがあります。一例としてdnsmasqを介した攻撃成立の事例を掲載しています。 信頼できるDNSキャッシュサーバとは sect.iij.ad.jp/d/2016/02/2252…

堂前@IIJ @IIJ_doumae

@tss_ontap 本日の記事では、「信頼できるDNSキャッシュサーバ」＝「バッファオーバーフローを引き起こすようなパケットを送出しない実装」として書いています。記事の最後で触れたBindやUnboundは(この件においては)「信頼できる」と考えています。(続

堂前@IIJ @IIJ_doumae

@tss_ontap 続)「信頼できる」実装を介しては、バッファオーバーフローを引き起こせません。 一方、dnsmasq(のいくつかのバージョン)は、この定義では「信頼できない」実装だと考えています。「信頼できない」実装を介した場合はバッファオーバーフローを引き起こせますが、（続

堂前@IIJ @IIJ_doumae

@tss_ontap 続)そこで実際に動作するコードを実行できるかは、対象アプリケーションの保護状態(ASLR等)や、そのキャッシュサーバの整合性チェックをパスする攻撃コードを組めるかに依存すると考えています。(続

堂前@IIJ @IIJ_doumae

@tss_ontap 続)実際に実行可能なコードを検証したわけではないですが、十分な量のコードを送り込めると考えています。 (このお返事は調査実施者の助言を元に堂前が組み立てました)

堂前@IIJ @IIJ_doumae

@tss_ontap (すみません、長くなります) スタックバッファオーバーフローが発生するのはサーバが1レスポンスあたり1024バイトを越えるデータを送り返した場合です。(A/AAAAの2レスポンス合計値が2048を越える)(続

堂前@IIJ @IIJ_doumae

@tss_ontap EDNS0無効時においては仕様上512バイトですが、仮に仕様を無視したケースでも応答が1024バイトまでに収まるのであればバッファオーバーフローは起きません。(続

堂前@IIJ @IIJ_doumae

@tss_ontap EDNS0有効時においても条件は同じです。クライアントがEDNS0有効で1024バイトと申告したのにもかかわらず、1500バイト送り返してくる様なサーバの場合はバッファオーバーフローは発生するはずです。(続

堂前@IIJ @IIJ_doumae

@tss_ontap 応答がwell-formedであったとしてもスタックバッファオーバーフローは発生します。その条件で実際に悪用可能なコードを注入できるかは確認が必要ですが、データの自由度はそれなりにあるのでいかなる環境においても攻撃が成立しないとは言い切れないと思います。(終

Cloudflare @Cloudflare

A tale of a DNS exploit: CVE-2015-7547 blog.cloudflare.com/a-tale-of-a-dn…

Daniel White @AI_Rivers_

VULNERABILITY IN #GLIBC #COULD LEAD TO REMOTE CODE EXECUTION (CVE-2015-7547) ow.ly/YSEor