Glibc Linuxのバグが数千のソフトウェアやデバイスを危険にさらす可能性

Linux Glibcバグが数百万のユーザーを脆弱なソフトウェアやデバイスの危険にさらす可能性

セキュリティ研究者たちは、インターネットのコアな構成要素の1つに潜む、潜在的に壊滅的な欠陥を発見しました。この欠陥により、数百または数千のアプリやハードウェアデバイスが攻撃に対して脆弱になり、潜在的なハッカーがそれらを制御することが可能になります。

研究者によると、この脆弱性は2008年から存在しており、GNU Cライブラリに導入されました。GNU Cライブラリは、数千のアプリやソフトウェアを動かすために使用されているオープンソースコードであり、ほとんどのLinuxディストリビューションで使用されています。このバグは、家庭用ルーターやその他のIoT（モノのインターネット）デバイスも攻撃に対して脆弱にします。

Ars Technicaは、ドメイン名のルックアップを行うgetaddrinfo()という関数にバッファオーバーフローのバグが含まれており、攻撃者が悪意のあるコードをリモートで実行できることを指摘しています。これは、脆弱なデバイスやアプリが攻撃者が制御するドメイン名やドメインネームサーバーにクエリを行ったり、脆弱なデバイスとオープンインターネット間でデータを監視・操作できる中間者攻撃にさらされた場合に悪用される可能性があります。glibcの2.9以降のすべてのバージョンが脆弱です。

glibcの開発チームは、この脆弱性を修正するアップデートをリリースしました。ドメイン名のルックアップを行うソフトウェアやハードウェアは、できるだけ早くパッチをインストールするよう求めています。

しかし、バグの性質上、問題の深刻さや影響を受けるデバイスの数を知ることは非常に難しいです。

「多くの人々が今、これが本当に壊滅的なのか、それとも私たちが弾丸を避けたのかを解明しようと走り回っています」と、サリー大学のセキュリティ専門家アラン・ウッドワード教授は述べています。

パッチがリリースされたにもかかわらず、前述のように、glibcのバグは安価な家庭用ルーターなどの数千のノマドデバイスを脆弱にする可能性があります。また、脆弱なバージョンのglibcでコンパイルされた一部のアプリは、ライブラリの更新されたバージョンで再コンパイルする必要があり、ハードウェアメーカーやアプリ開発者からの修正が利用可能になるのを待つ間に時間がかかります。

発見を説明するブログ投稿で、Googleのチームは、一般的に使用されるコードの欠陥が、コンピュータ、インターネットルーター、またはその他の接続された機器へのリモートアクセスを可能にする方法で悪用される可能性があることを詳述しました。

このコードは、PHPやPythonなどのプログラミング言語や、サイトにログインしたりメールにアクセスする際に使用されるシステムなど、ウェブの「構成要素」の多くにも含まれています。

更新できる立場にある人は、できるだけ早く更新するべきです。Googleのブログ投稿は続けました：

Googleは、glibcのインスタンスをすぐにパッチできない場合に悪用を防ぐのに役立ついくつかの緩和策を見つけました。この脆弱性は、オーバーサイズ（2048バイト以上）のUDPまたはTCP応答に依存しており、その後にスタックを上書きする別の応答が続きます。私たちの推奨される緩和策は、DNSリゾルバーが受け入れる応答（つまり、DNSMasqや同様のプログラムを介して）のサイズを制限し、DNSクエリが応答サイズを制限するDNSサーバーにのみ送信されるようにすることです。

一方、glibcのメンテナは以下の追加の緩和策の詳細を提供しました：

UDPの緩和策には以下が含まれます：
– 512バイトを超えるUDP DNSパケットをドロップするファイアウォール。
– 非準拠の応答をドロップするローカルリゾルバー。
– デュアルAおよびAAAAクエリを避ける（バッファ管理エラーを回避）例：
AF_UNSPECを使用しない。
– /etc/resolv.confでoptions edns0を使用しない。EDNS0は512バイトを超える応答を許可し、オーバーフローを引き起こす有効なDNS応答をもたらす可能性があります。
– RES_USE_EDNS0またはRES_USE_DNSSECを使用しない。これらはどちらも、オーバーフローを引き起こす有効な大きなEDNS0ベースのDNS応答をもたらす可能性があります。TCPの緩和策には以下が含まれます：
– すべての応答を1024バイトに制限します。機能しない緩和策：
– options single-requestを設定してもバッファ管理は変更されず、悪用を防ぐことはできません。
– options single-request-reopenを設定してもバッファ管理は変更されず、悪用を防ぐことはできません。
– IPv6を無効にしてもAAAAクエリは無効になりません。AF_UNSPECの使用は無条件にデュアルクエリを有効にします。
– sysctl -w net.ipv6.conf.all.disable_ipv6=1を使用しても、システムを悪用から保護することはできません。
– ローカルまたは中間リゾルバーでIPv6をブロックしても、悪用を防ぐことはできません。悪用ペイロードはAまたはAAAAの結果で配信される可能性があり、バッファ管理の欠陥を引き起こすのは並行クエリです。

この脆弱性は、2014年に発見されたShellshockと比較されています。このバグは、広範囲のコンピュータデバイスに影響を与えました。Red Hatの担当者は、こちらに詳細情報を提供しています。