getaddrinfo() 취약점에 대한 Glibc 패치

Question

합리적으로 잘 지원되는 배포판을 사용하는 경우 원본 패치 자체가 필요하지 않습니다. 대부분의 배포판은 지금쯤 libc를 업데이트하고 이를 저장소에 푸시했을 것이며, 패키지 관리자를 사용하여 libc를 업그레이드하기만 하면 됩니다. (지금까지 그렇게 하지 않았다면 배포판 전환을 심각하게 고려하십시오.) Amazon Linux의 경우도 마찬가지입니다. 에서보안 게시판:

AWS가 아닌 DNS 인프라를 사용하도록 구성을 수정한 Amazon EC2를 사용하는 고객은 Linux 배포판에서 제공하는 지침에 따라 즉시 Linux 환경을 업데이트해야 합니다. AWS DNS 인프라를 사용하는 EC2 고객은 영향을 받지 않으며 어떠한 조치도 취할 필요가 없습니다.

Amazon Linux를 사용하고 AWS가 아닌 DNS 인프라를 사용하도록 구성을 수정한 Amazon EC2 고객의 경우:

CVE-2015-7547에 대한 수정 사항이 심각도 등급으로 Amazon Linux AMI 리포지토리에 푸시되었습니다. 2016년 2월 16일 또는 그 이후에 기본 Amazon Linux 구성으로 시작된 인스턴스에는 이 CVE에 필요한 수정 사항이 자동으로 포함됩니다.

패치를 보고 싶다면 diff --git a/resolv/nss_dns/dns-host.c b/resolv/nss_dns/dns-host.c이메일에서 다음으로 시작하는 부분을 확인하세요.

CVE-2015-7547

2016-02-15  Carlos O'Donell  

    [BZ #18665]
    * resolv/nss_dns/dns-host.c (gaih_getanswer_slice): Always set
    *herrno_p.
    (gaih_getanswer): Document functional behviour. Return tryagain
    if any result is tryagain.
    * resolv/res_query.c (__libc_res_nsearch): Set buffer size to zero
    when freed.
    * resolv/res_send.c: Add copyright text.
    (__libc_res_nsend): Document that MAXPACKET is expected.
    (send_vc): Document. Remove buffer reuse.
    (send_dg): Document. Remove buffer reuse. Set *thisanssizp to set the
    size of the buffer. Add Dprint for truncated UDP buffer.

diff --git a/resolv/nss_dns/dns-host.c b/resolv/nss_dns/dns-host.c
index a255d5e..47cfe27 100644
--- a/resolv/nss_dns/dns-host.c
+++ b/resolv/nss_dns/dns-host.c
@@ -1031,7 +1031,10 @@ gaih_getanswer_slice (const querybuf *answer, int anslen, const char *qname,
   int h_namelen = 0;

   if (ancount == 0)
-    return NSS_STATUS_NOTFOUND;
+    {
+      *h_errnop = HOST_NOT_FOUND;
+      return NSS_STATUS_NOTFOUND;
+    }

...

Answer 1

합리적으로 잘 지원되는 배포판을 사용하는 경우 원본 패치 자체가 필요하지 않습니다. 대부분의 배포판은 지금쯤 libc를 업데이트하고 이를 저장소에 푸시했을 것이며, 패키지 관리자를 사용하여 libc를 업그레이드하기만 하면 됩니다. (지금까지 그렇게 하지 않았다면 배포판 전환을 심각하게 고려하십시오.) Amazon Linux의 경우도 마찬가지입니다. 에서보안 게시판:

AWS가 아닌 DNS 인프라를 사용하도록 구성을 수정한 Amazon EC2를 사용하는 고객은 Linux 배포판에서 제공하는 지침에 따라 즉시 Linux 환경을 업데이트해야 합니다. AWS DNS 인프라를 사용하는 EC2 고객은 영향을 받지 않으며 어떠한 조치도 취할 필요가 없습니다.

Amazon Linux를 사용하고 AWS가 아닌 DNS 인프라를 사용하도록 구성을 수정한 Amazon EC2 고객의 경우:

CVE-2015-7547에 대한 수정 사항이 심각도 등급으로 Amazon Linux AMI 리포지토리에 푸시되었습니다. 2016년 2월 16일 또는 그 이후에 기본 Amazon Linux 구성으로 시작된 인스턴스에는 이 CVE에 필요한 수정 사항이 자동으로 포함됩니다.

패치를 보고 싶다면 diff --git a/resolv/nss_dns/dns-host.c b/resolv/nss_dns/dns-host.c이메일에서 다음으로 시작하는 부분을 확인하세요.

CVE-2015-7547

2016-02-15  Carlos O'Donell  

    [BZ #18665]
    * resolv/nss_dns/dns-host.c (gaih_getanswer_slice): Always set
    *herrno_p.
    (gaih_getanswer): Document functional behviour. Return tryagain
    if any result is tryagain.
    * resolv/res_query.c (__libc_res_nsearch): Set buffer size to zero
    when freed.
    * resolv/res_send.c: Add copyright text.
    (__libc_res_nsend): Document that MAXPACKET is expected.
    (send_vc): Document. Remove buffer reuse.
    (send_dg): Document. Remove buffer reuse. Set *thisanssizp to set the
    size of the buffer. Add Dprint for truncated UDP buffer.

diff --git a/resolv/nss_dns/dns-host.c b/resolv/nss_dns/dns-host.c
index a255d5e..47cfe27 100644
--- a/resolv/nss_dns/dns-host.c
+++ b/resolv/nss_dns/dns-host.c
@@ -1031,7 +1031,10 @@ gaih_getanswer_slice (const querybuf *answer, int anslen, const char *qname,
   int h_namelen = 0;

   if (ancount == 0)
-    return NSS_STATUS_NOTFOUND;
+    {
+      *h_errnop = HOST_NOT_FOUND;
+      return NSS_STATUS_NOTFOUND;
+    }

...

getaddrinfo() 취약점에 대한 Glibc 패치

답변1

관련 정보