【重要】「glibc」の脆弱性に関する注意喚起

2015.01.30

1月28日に、多くのLinuxディストリビューションに含まれるライブラリである、The GNU C Library(以下、glibc) に脆弱性が見つかり、修正パッチが公開されております（CVE-2015-0235、通称「GHOST」）。
お客様におかれましては、早急にOSの提供元から修正パッチを入手し適用していただけますようお願いいたします。

概要

glibcにバッファオーバーフローの脆弱性が存在し、この脆弱性を悪用された場合、アプリケーションの異常終了や、任意のコードが実行可能になる危険性が指摘されております。
なお、本脆弱性は、gethostbyname関数に問題があるとの情報があります。

お客様へ

本件に関しては、弊社が提供する製品全般においても影響を受ける可能性がございますので、早急に対策を実施していただけますようお願いいたします。

弊社パッケージ製品をご利用中のお客様
対象製品名：Active! mail, Active! hunter, Active! gate, Active! vault, Active! prime, Active! hunter Appliance, Active! gate Appliance

glibcの対象バージョン
glibc 2.2 から 2.17 までのバージョン

※下記、弊社クラウド型サービスについては、既に対策済みとなります。
(Active! vault SS, Active! gate SS, Active! world, Active! drive SS)

対策

現時点では本脆弱性を悪用した攻撃が行われたという情報はありませんが、システムのglibcのアップデート適用、およびシステムの再起動をお願いいたします。

CVE-2015-0235については、28日までにRed Hat Enterprise LinuxおよびCentOS向けの修正パッチがリリースされていることを確認済みです。

• Red Hat Enterprise Linux 5 / CentOS 5
  glibc-2.5-123.el5_11.1.i386.rpm
  glibc-2.5-123.el5_11.1.x86_64.rpm
  
• Red Hat Enterprise Linux 6 / CentOS 6
  glibc-2.12-1.149.el6_6.5.i686.rpm
  glibc-2.12-1.149.el6_6.5.x86_64.rpm
  

尚、アプライアンス製品につきましては「アプライアンス設定画面」の「OSアップデート」よりご対応ください。

注意：glibcとの依存関係にあるRPMパッケージにKernelが含まれるため、アップデートの適用後にシステムの再起動が必要となります。

参考

[IPA] glibc の脆弱性対策について(CVE-2015-0235)
http://www.ipa.go.jp/security/announce/20150129-glibc.html

以上、よろしくお願いいたします。