getaddrinfo() 脆弱性に対する Glibc パッチ

Question

十分にサポートされているディストリビューションを使用している場合、元のパッチ自体は必要ありません。ほとんどのディストリビューションでは、すでにlibcを更新してリポジトリにプッシュしているため、パッケージマネージャーを使用してlibcをアップグレードするだけで済みます。（まだアップグレードしていない場合は、ディストリビューションの切り替えを真剣に検討してください。）Amazon Linuxの場合、まさにこれが当てはまります。セキュリティ速報:

Amazon EC2 を使用しており、AWS 以外の DNS インフラストラクチャを使用するように設定を変更したお客様は、Linux ディストリビューションの指示に従って、Linux 環境を直ちに更新する必要があります。AWS DNS インフラストラクチャを使用している EC2 のお客様は影響を受けないため、何もする必要はありません。

Amazon Linux を使用しており、AWS 以外の DNS インフラストラクチャを使用するように設定を変更した Amazon EC2 のお客様の場合:

CVE-2015-7547 の修正が Amazon Linux AMI リポジトリにプッシュされ、重大度は「重大」と評価されています。2016/02/16 以降にデフォルトの Amazon Linux 設定で起動されたインスタンスには、この CVE に必要な修正が自動的に含まれます。

ご覧になりたいパッチは、diff --git a/resolv/nss_dns/dns-host.c b/resolv/nss_dns/dns-host.c電子メール内で次の文字で始まる部分です:

CVE-2015-7547

2016-02-15  Carlos O'Donell  

    [BZ #18665]
    * resolv/nss_dns/dns-host.c (gaih_getanswer_slice): Always set
    *herrno_p.
    (gaih_getanswer): Document functional behviour. Return tryagain
    if any result is tryagain.
    * resolv/res_query.c (__libc_res_nsearch): Set buffer size to zero
    when freed.
    * resolv/res_send.c: Add copyright text.
    (__libc_res_nsend): Document that MAXPACKET is expected.
    (send_vc): Document. Remove buffer reuse.
    (send_dg): Document. Remove buffer reuse. Set *thisanssizp to set the
    size of the buffer. Add Dprint for truncated UDP buffer.

diff --git a/resolv/nss_dns/dns-host.c b/resolv/nss_dns/dns-host.c
index a255d5e..47cfe27 100644
--- a/resolv/nss_dns/dns-host.c
+++ b/resolv/nss_dns/dns-host.c
@@ -1031,7 +1031,10 @@ gaih_getanswer_slice (const querybuf *answer, int anslen, const char *qname,
   int h_namelen = 0;

   if (ancount == 0)
-    return NSS_STATUS_NOTFOUND;
+    {
+      *h_errnop = HOST_NOT_FOUND;
+      return NSS_STATUS_NOTFOUND;
+    }

...

Answer 1

十分にサポートされているディストリビューションを使用している場合、元のパッチ自体は必要ありません。ほとんどのディストリビューションでは、すでにlibcを更新してリポジトリにプッシュしているため、パッケージマネージャーを使用してlibcをアップグレードするだけで済みます。（まだアップグレードしていない場合は、ディストリビューションの切り替えを真剣に検討してください。）Amazon Linuxの場合、まさにこれが当てはまります。セキュリティ速報:

Amazon EC2 を使用しており、AWS 以外の DNS インフラストラクチャを使用するように設定を変更したお客様は、Linux ディストリビューションの指示に従って、Linux 環境を直ちに更新する必要があります。AWS DNS インフラストラクチャを使用している EC2 のお客様は影響を受けないため、何もする必要はありません。

Amazon Linux を使用しており、AWS 以外の DNS インフラストラクチャを使用するように設定を変更した Amazon EC2 のお客様の場合:

CVE-2015-7547 の修正が Amazon Linux AMI リポジトリにプッシュされ、重大度は「重大」と評価されています。2016/02/16 以降にデフォルトの Amazon Linux 設定で起動されたインスタンスには、この CVE に必要な修正が自動的に含まれます。

ご覧になりたいパッチは、diff --git a/resolv/nss_dns/dns-host.c b/resolv/nss_dns/dns-host.c電子メール内で次の文字で始まる部分です:

CVE-2015-7547

2016-02-15  Carlos O'Donell  

    [BZ #18665]
    * resolv/nss_dns/dns-host.c (gaih_getanswer_slice): Always set
    *herrno_p.
    (gaih_getanswer): Document functional behviour. Return tryagain
    if any result is tryagain.
    * resolv/res_query.c (__libc_res_nsearch): Set buffer size to zero
    when freed.
    * resolv/res_send.c: Add copyright text.
    (__libc_res_nsend): Document that MAXPACKET is expected.
    (send_vc): Document. Remove buffer reuse.
    (send_dg): Document. Remove buffer reuse. Set *thisanssizp to set the
    size of the buffer. Add Dprint for truncated UDP buffer.

diff --git a/resolv/nss_dns/dns-host.c b/resolv/nss_dns/dns-host.c
index a255d5e..47cfe27 100644
--- a/resolv/nss_dns/dns-host.c
+++ b/resolv/nss_dns/dns-host.c
@@ -1031,7 +1031,10 @@ gaih_getanswer_slice (const querybuf *answer, int anslen, const char *qname,
   int h_namelen = 0;

   if (ancount == 0)
-    return NSS_STATUS_NOTFOUND;
+    {
+      *h_errnop = HOST_NOT_FOUND;
+      return NSS_STATUS_NOTFOUND;
+    }

...

getaddrinfo() 脆弱性に対する Glibc パッチ

答え1

関連情報