OneSpan製品におけるglibc GHOSTの脆弱性

アドバイザリーID vasco-sa-20150202-ghost

改訂番号 1.0

リリース日 2015年2月4日01:50 PM UTC + 1

最後の更新 2015年2月4日01:50 PM UTC + 1

概要

2015年1月27日、Qualysのセキュリティ研究者は、glibcとして知られるGNU Cライブラリの脆弱性を公表しました。この脆弱性は一般にGHOSTと呼ばれ、認証されていないローカルまたはリモートの攻撃者がシステムを制御する可能性があります。GNU Cライブラリの最初の脆弱なバージョンは、2000年11月10日にリリースされたglibc-2.2です。

影響を受ける製品

次の製品はGHOST脆弱性の影響を受けます。

  • IDENTIKEY Federation Server 1.4、1.5
  • IDENTIKEYアプライアンス(すべてのバージョン)
  • aXsGUARD Gatekeeper(すべてのバージョン)

説明文

GNU Cライブラリglibcは、GNUプロジェクトによるCプログラミング言語の標準ライブラリの実装です。C標準ライブラリは、オペレーティングシステムサービス、入出力処理、メモリ割り当て、およびその他のタイプの関数との相互作用のための基本的な関数を提供します。

GNU Cライブラリには、gethostbyname()およびgethostbyname2()関数で使用される__nss_hostname_digits_dots()という名前の関数が含まれています。後者の2つの機能により、アプリケーションはDNSクエリを解決できます。

関数__nss_hostname_digits_dots()には、ヒープベースのバッファオーバーフローが含まれています。ローカルまたはリモートの攻撃者は、この脆弱性を利用して、アプリケーションを実行しているユーザーの権限で任意のコードを実行できます。

ただし、関数gethostbyname()およびgethostbyname2()は、主にIPv6のサポートがないために、約15年間非推奨になっています。

この脆弱性は一般にGHOSTと呼ばれ、Common Vulnerabilities and Exposures(CVE)ID CVE-2015-0235が割り当てられています。

重大度スコア

以下の表は、さまざまな脆弱性のCVSS 2.0脆弱性スコアを示しています。
 

CVSS基本スコア:10.0
アクセスベクター

アクセスの複雑さ

 認証 機密性への影響 完全性への影響 可用性への影響
通信網 無し コンプリート コンプリート コンプリート

 

製品の修正

OneSpanは次のパッチをリリースします。

  • 2015年2月6日のIDENTIKEY Federation Server 1.4.5および1.5.4
  • 2015年4月のIDENTIKEY Appliance 3.8.9.0
  • aXsGUARD Gatekeeper 8.1.0の場合:2015年2月6日のHotfix 001

OneSpanでは、IDENTIKEY Authentication Server 3.4 SR1および3.5を使用してバージョン3.6にアップグレードすることをお勧めします。OneSpanでは、IDENTIKEY Authentication Server 3.6を使用して、ディストリビューションの更新システムを使用してglibcライブラリを更新することをお勧めします。

ロケーション

aXsGUARD Gatekeeper製品の場合:

OneSpanは、自動更新サービスを介してパッチを展開します。システムがこのサービスを介して更新を受け取ることを許可しないお客様は、パッチの入手方法についてOneSpanにお問い合わせください。

他の製品について

保守契約を結んでいるお客様は、MyMaintenanceから固定製品リリースを入手できます。保守契約のないお客様は、最寄りの営業担当者にお問い合わせください。

参照

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0235

法的放棄声明

本書に記載されているすべての内容と情報は、表現または保証がなく、明示的または黙示的な保証なしに、「現状のまま」かつ「入手可能な」状態で提供されます。完全性または適合性、または商品性または特定の使用または目的への適合性の保証を含む、いかなる保証。このドキュメント、提供された情報、またはこのドキュメントからリンクされている資料の使用は、ユーザー自身の責任で行ってください。VASCOは、このドキュメントの情報をいつでも、その裁量で、新しい情報または追加情報が利用可能になったときに変更または更新する権利を留保します。

Copyright©2015 VASCO Data Security、Inc.、VASCO Data Security International GmbH。全著作権所有。

One OneSpan製品におけるglibc GHOSTの脆弱性