Article ID: 128363, created on Feb 23, 2016, last review on Feb 23, 2016

  • Applies to:
  • Virtuozzo
  • Virtuozzo containers for Linux 4.7
  • Virtuozzo hypervisor

状況

Google セキュリティチームおよび Red Hat チームがソースコード分析を実施した結果、CVE-2015-7547 というセキュリティ上の問題が特定され、報告されています。

glibc のパブリックオープンバグ 18665 に関するアップストリームレビューにおいて、この不具合に起因するスタックベースのバッファオーバーフローが発生する可能性が判明しました。

このバッファオーバーフローは、getaddrinfoAF_UNSPEC ファミリー(および場合によっては AF_INET6)で呼び出したときに(コミット 8479f23a "only use gethostbyname4_r if PF_UNSPEC" による修正の前)、send_dg 関数(UDP)および send_vc 関数(TCP)で NSS モジュール libnss_dns.so.2 に対して発生します。

AF_UNSPEC を使用すると、低レベルリゾルバコードが A クエリと AAAA クエリを並列して発行します。これらのクエリに使用されるバッファ管理の不具合により、__res_nquery で作成され割り当てられるバッファ量を超える書き込みが応答によって行われる可能性があります。

この問題の影響を受ける OS は以下のとおりです。

  • RHEL 7 および派生ディストリビューション
  • RHEL 6 および派生ディストリビューション
  • Debian 6.0(squeeze)
  • Debian 7.0(wheezy)
  • Debian 8.0(jessie)
  • Debian 9.0(stretch)
  • RHEL 15.10 および派生ディストリビューション
  • RHEL 14.04 LTS および派生ディストリビューション
  • RHEL 12.04 LTS および派生ディストリビューション

影響

この脆弱性により、リモートでコードが実行される危険性があります。攻撃者はこの脆弱性を悪用して、影響を受けたシステムの完全な制御権を獲得することができます。

CVE-2015-7547 についての追加情報は、glibc プロジェクトのメーリングリストをご確認ください。

対策のお願い

Parallels Virtual Automation

  1. PVA 管理ノードがインストールされているホストまたはコンテナのホスト OS を更新します。

    # yum update glibc
    
  2. PVA MN サービスを再起動します。

    # service pvamnd restart
    # service pvacc restart
    

Virtuozzo 6

  1. 以下のコマンドを実行して、Virtuozzo 6 ノードを更新することをお勧めします。

    # yum update glibc 
    
  2. また、このノード上で実行されるすべてのコンテナおよび Linux 仮想マシン内のパッケージも更新する必要があります。

    a. 実行中のすべてのコンテナ内のパッケージを更新するには、以下を実行します。

    ~# for i in `vzlist -Ho ctid`; do vzpkg update $i -p glibc; done
    

    b. 停止しているコンテナ内のパッケージを更新するには、これらのコンテナを一時的に起動する必要があります。

    ~# vzctl start CTID
    ~# vzpkg update CTID -p glibc
    

    c. 仮想マシン内のパッケージを更新するには、仮想マシン内でゲストシステムとして使用されている当該 Linux ディストリビューションのパッケージマネージャを使用します。変更を適用するには、仮想マシンの再起動が必要です。

  3. すべてのコンテナと仮想マシンを更新するときは、ハードウェアノードの再起動が必要になります。

Paralllels Virtuozzo Containers

ノード上のパッケージと、実行中のすべてのコンテナ内のパッケージをいずれも更新する必要があります。

  1. 以下のコマンドを実行して、Parallels Virtuozzo Containers for Linux ノードを更新することをお勧めします。

    # yum update glibc 
    
  2. 実行中のすべてのコンテナ内のパッケージを更新するには、以下を実行します。

    ~# for i in `vzlist -Ho ctid`; do vzpkg update $i -p glibc; done
    
  3. 停止しているコンテナ内のパッケージを更新するには、これらのコンテナを一時的に起動する必要があります。

    ~# vzctl start CTID
    ~# vzpkg update CTID -p glibc
    
  4. すべてのコンテナを更新するときは、ハードウェアノードの再起動が必要になります。

Virtuozzo チームはセキュリティ対策に真剣に取り組んでいます。お客様におかれましては、推奨されるアクションの早急な実施をお願いいたします。

また、以下にご登録いただき、Virtuozzo の重要な製品情報を入手することをお勧めします。

関連リンク

0dd5b9380c7d4884d77587f3eb0fa8ef 2897d76d56d2010f4e3a28f864d69223 d02f9caf3e11b191a38179103495106f e8e50b42231236b82df27684e7ec0beb 0c05f0c76fec3dd785e9feafce1099a9 a26b38f94253cdfbf1028d72cf3a498b

Email subscription for changes to this article