未解決
この投稿は5年以上前のものです
Community Manager
•
3.1K メッセージ
0
1087
EMC製品におけるGNU Cライブラリバッファオーバーフローの脆弱性確認(CVE-2015-7547)
GNU Cライブラリ・バッファオーバーフローの脆弱性(CVE-2015-7547)が2016年2月に報告されています。
EMCでは製品それぞれに関する影響をKB476693:GNU C Library getaddrinfo () Buffer Overflow Vulnerability (CVE-2015-7547) in EMC products.で公開/報告しています。
JPCommunityMgr
Community Manager
Community Manager
•
3.1K メッセージ
1
2016年2月19日 00:00
以下は2016年2月23日17:00時点の情報です。
個々のEMC製品に関する詳細情報についてはhttps://support.emc.com/kb/476693より確認可能です。
---------KB476693の内容翻訳(Summaryの最初の部分のみ)---------
2016年2月16日にLinuxのglibcライブラリに関する脆弱性が公開されました。この脆弱性はGoogleとRet Hatによりそれぞれ発見されたものです。getaddinfo()ライブラリの機能が利用された時に、glibc DNSクライアント側のresolverにスタックベースのバッファオーバーフローの脆弱性が存在します。リモートの攻撃者は特別に作成したDNSレスポンスを用い、そのライブラリを破壊したり、そのライブラリを実行しているユーザのパーミッションでのコード実行が可能となる場合があります。
この脆弱性にはCommon Vulnerabilities and Exposures (CVE) ID CVE-2015-7547が付与されています。
本脆弱性に関する詳細はGoogle blogポストにて確認出来ます。
https://googleonlinesecurity.blogspot.com/2016/02/cve-2015-7547-glibc-getaddrinfo-stack.html
EMCは本事象を認識しており、製品に対する影響を調査しています。影響度合は製品により変わります。以下表では最新の影響に関する情報が公開されています。この表は追加情報が出てきた時点でアップデートされます。
RSA製品に関する状況は、こちらを参照してください:https://rsaportal.force.com/customer/articles/RSA_Technical_Advisory/CVE-2015-7547-glibc-getaddrinfo-stack-based-buffer-overflow
VCE製品に関する状況は、こちらを参照してください:http://support.vce.com/kA2A00000008u4B
---------KB476693の内容翻訳(Summaryの最初の部分のみ)ここまで---------
上記にある「表」は以下リンクより最新のナレッジベース情報(KB476693)を参照することで確認可能です。
https://support.emc.com/kb/476693
【参考】影響なしのプロダクトに関しては、以下のような情報が当該KBに記載されています。
製品:Isilon OneFS
Impacted?:No (影響なし)
Details(詳細):Isilon OneFS uses FreeBSD which does not contain the glibc library.(Ision OneFSはglibcライブラリを含まないFreeBSDを利用しています)
製品:VNX1、VNX2
Impacted?:No(影響なし)
Details(詳細):Does not use vulnerable version of Linux OS.(脆弱性があるバージョンのLinuxOSは利用していません)