【重要】glibcに関する深刻な脆弱性(GHOST)。今すぐ対策を

セキュリティ対策しなきゃ

glibc に深刻なセキュリティホール GHOST ( glibc gethostbyname buffer overflow ) が存在する事が報告されました。
すぐに対応した方がよさそうです。

2015/1/28 16時頃、一部追記/修正

はじめに

CVE-2015-0235 が報告されています。
今回もさっさと対策しましょう。

日本語での解説記事は Linuxに深刻なセキュリティホール「GHOST」、今すぐパッチが必要 あたりを参照してください。

通常のWebサーバ用途等であれば、アップデートした環境で動作検証した後、運用環境に適用するという流れでさっさと対応した方がよいのではないかと思われます。
もし自作や自社アプリケーションで glibc を利用しているといった場合には、動作検証を行ってからの方がよいかと。

Critical glibc update (CVE-2015-0235) in gethostbyname() calls によれば、以下で glibc ライブラリに依存するサービスをリストする事が可能との事。これらコマンドで影響範囲を確認した方がよさそうです。

$ sudo lsof | grep libc | awk '{print $1}' | sort | uniq

手順

AWS(EC2)

いつものごとく AWS (EC2) における手順を以下に記載します。

  1. yum でアップデート確認
    sudo yum check-update
    
  2. 以下が更新対象になっていれば、更新を行います。( Amazon Linux ( 64版 ) の場合 )
    • glibc-common-2.17-55.93.amzn
    • glibc-2.17-55.93.amzn
    • glibc-headers-2.17-55.93.amzn
    • glibc-devel-2.17-55.93.amzn
    更新対象として現れない場合、以下を実施して、再度 yum check-update しましょう。
    $ sudo yum clean all
    
  3. yum update します。
    $ sudo yum update
    
  4. アップデート完了後はシステム再起動しましょう。
    $ sudo reboot
    

    ※影響を受けるサービスのみ再起動する方法でも構いませんが、再起動してしまった方が確実かと。

Redhat

既にパッチが提供されているようです。

GHOST: glibc vulnerability (CVE-2015-0235)
Critical: glibc security update

CentOS

CentOS でも yum リポジトリで提供が行われています。
AWS(EC2)と同様の手順で対策可能です。

Debian

DSA-3142-1

Ubuntsu

USN-2485-1: GNU C Library vulnerability

まとめ

上記 ZDNet の記事にもあるように、今すぐ対策を行うべきセキュリティホールです。
記事も詳しく書いている余裕などない現状 ( 現行プロジェクト作業のため ) ですが、取り急ぎ弊社の公開サーバに関しては対策を行いました。

さっさと対策してしまいましょう。