操作に関するお問い合わせ
2016/02/17
お知らせ
glibcの脆弱性(CVE-2015-7547)での対応に関して
SaaS・仮想専有サーバプランに関しては、AWS DNSを利用しているため緊急度は低いと考えております。
AWSからの連絡内容
https://aws.amazon.com/jp/security/security-bulletins/cve-2015-7547-advisory/
サーバインストールプランに関しては、下記を参考に、対応をお願いいたします。
RCMSで、外部連携のAPIを利用している場合や、google analytics連動などを利用している場合は必須になります。
RCMS外でもMTAなどサーバ側でも多数、getaddrinfoを利用されていることが予想されますので、glibcのアップデートとサービス、またはサーバの再起動を推奨いたします。
glibcをアップデートすることで、RCMSの挙動に問題は発生しないことは確認しております。
詳しくは、以下をご覧ください。
http://jvn.jp/vu/JVNVU97236594/index.html
また、不明点があれば、サポートまでお問い合わせください。
①yum等でglibcのアップデートをお願いいたします。
②参考)getaddrinfoのコール状況の確認方法(脆弱性のテストではないです)
・以下のコマンドを実行
・tail -f ./poclogをして、getaddrinfoのコール状況を確認。以下のようなログが出力されます。セグメンテーション違反ですが出る場合は脆弱性がある可能性があります。
AWSからの連絡内容
https://aws.amazon.com/jp/security/security-bulletins/cve-2015-7547-advisory/
サーバインストールプランに関しては、下記を参考に、対応をお願いいたします。
RCMSで、外部連携のAPIを利用している場合や、google analytics連動などを利用している場合は必須になります。
RCMS外でもMTAなどサーバ側でも多数、getaddrinfoを利用されていることが予想されますので、glibcのアップデートとサービス、またはサーバの再起動を推奨いたします。
glibcをアップデートすることで、RCMSの挙動に問題は発生しないことは確認しております。
詳しくは、以下をご覧ください。
http://jvn.jp/vu/JVNVU97236594/index.html
また、不明点があれば、サポートまでお問い合わせください。
①yum等でglibcのアップデートをお願いいたします。
②参考)getaddrinfoのコール状況の確認方法(脆弱性のテストではないです)
・以下のコマンドを実行
git clone https://github.com/fjserna/CVE-2015-7547 cd CVE-2015-7547 make nohup ./CVE-2015-7547-poc.py > poclog &・/etc/resolv.confにnameserver 127.0.0.1をセット(稼働中のサーバでこの設定を行うとDNSの正引きができず、既存のアプリケーションの動作が不安定になる場合があります。)
・tail -f ./poclogをして、getaddrinfoのコール状況を確認。以下のようなログが出力されます。セグメンテーション違反ですが出る場合は脆弱性がある可能性があります。
Segmentation fault
Connected with 127.0.0.1:59445 [TCP] Total Data len recv 41 [TCP] Request1 len recv 39 [UDP] Total Data len recv 39 Connected with 127.0.0.1:59446 [TCP] Total Data len recv 44 [TCP] Request1 len recv 42 [UDP] Total Data len recv 42 Connected with 127.0.0.1:59447 [TCP] Total Data len recv 41 [TCP] Request1 len recv 39 [UDP] Total Data len recv 39 Connected with 127.0.0.1:59449 [TCP] Total Data len recv 41 [TCP] Request1 len recv 39 [UDP] Total Data len recv 39
