OneSpan製品のCVE-2015-7547の脆弱性

アドバイザリーID vasco-sa-20160223-glibc

改訂番号 1.0

リリース日 2016年2月23日午後12:00 UTC + 1

最後の更新 2016年2月23日午後12:00 UTC + 1

概要

2016年2月16日火曜日、Googleエンジニアは、2.9以降のすべてのバージョンのglibcに見られる脆弱性についてブログ投稿を公開しました。ブログの投稿では、glibc DNSクライアント側のリゾルバーは、getaddrinfo()ライブラリ関数が使用された場合のスタックベースのバッファーオーバーフローに対して脆弱であると説明しています。この機能を使用するソフトウェアは、攻撃者が制御するドメイン名、攻撃者が制御するDNSサーバー、または中間者攻撃を介して悪用される可能性があります。

影響を受ける製品

次の製品は、CVE-2015-7547の脆弱性の影響を受けます。 

  • IDENTIKEYフェデレーションサーバー1.6 
  • IDENTIKEYアプライアンス3.4.5.0以降 
  • AXSGUARD Gatekeeper 7.7.0以降 

これらの製品で脆弱なバージョンのglibcが使用されていても、DNSクライアント側のリゾルバーが製品で使用されているため、OneSpanは悪用可能性を低く評価します。

説明文

次の脆弱性の説明は、NIST National Vulnerability Databaseから抽出されました。 

「2.23より前のGNU Cライブラリ(別名glibcまたはlibc6)の(1)send_dgおよび(2)send_vc関数の複数のスタックベースのバッファオーバーフローにより、リモートの攻撃者がサービス拒否(クラッシュ)を引き起こす可能性があります。「デュアルA / AAAA DNSクエリ」とlibnss_dns.so.2 NSSモジュールの実行に関連して、AF_UNSPECまたはAF_INET6アドレスファミリでgetaddrinfo関数の呼び出しをトリガーする巧妙に細工されたDNS応答を介して任意のコードを実行します。

重大度スコア

以下の表は、脆弱性CVE-2015-7547のCVSS 2.0脆弱性スコアを示しています。 

CVSS基本スコア:6.8(中)
アクセスベクター アクセスの複雑さ 認証 機密性への影響 完全性への影響 可用性への影響
通信網 無し 部分的 部分的 部分的

 

製品の修正

OneSpanは、次の次のリリースで脆弱性CVE-2015-7547を修正します。 

  • IDENTIKEY Federation Server 1.6.1(2016年第1四半期にリリース予定) 
  • IDENTIKEY(仮想)アプライアンス3.10.11.0(2016年第2四半期にリリース予定) 
  • AXSGUARD GateKeeper 8.2.1(2016年第2四半期にリリース予定) 

OneSpanでは、IDENTIKEY Authentication Serverを使用して、ディストリビューションの更新システムを使用してglibcライブラリを更新することをお勧めします。

ロケーション

aXsGUARD Gatekeeper製品の場合: 

-OneSpanは、自動更新サービスを介してパッチを展開します。システムがこのサービスを介して更新を受け取ることを許可しないお客様は、パッチの入手方法についてOneSpanにお問い合わせください。 

その他の製品: 

-保守契約を結んでいるお客様は、MyMaintenanceから固定製品リリースを入手できます。保守契約のないお客様は、最寄りの営業担当者にお問い合わせください。

参照

追加のリソース:

-CVE-2015-7547

-Googleオンラインセキュリティブログ

法的放棄声明

本書に記載されているすべての内容と情報は、表現または保証がなく、明示的または黙示的な保証なしに、「現状のまま」かつ「入手可能な」状態で提供されます。完全性または適合性、または商品性または特定の使用または目的への適合性の保証を含む、いかなる保証。このドキュメント、提供された情報、またはこのドキュメントからリンクされている資料の使用は、ユーザー自身の責任で行ってください。VASCOは、このドキュメントの情報をいつでも、その裁量で、新しい情報または追加情報が利用可能になったときに変更または更新する権利を留保します。Copyright©2016 VASCO Data Security、Inc.、VASCO Data Security International GmbH。全著作権所有。

OneSpan製品のCVE-2015-7547の脆弱性 s