セキュリティの論点

Linuxに潜む脆弱性「GHOST」とは何だったのか

中山貴禎(ネットエージェント)

2015-03-14 07:00

 1月27日、米国のセキュリティ企業であるQualys(クォリス)から、Linuxで一般的な標準Cライブラリ「glibc(GNU C Library)」に重大な脆弱性が存在することを確認した、という発表がありました。まだ記憶にも新しいこの脆弱性(CVE-2015-0253)は通称「GHOST」と名付けられましたが、今回はこの件に関して説明します。

 GHOSTは、glibcの関数「gethostbyname*()」を呼び出すことで引き起こされるバッファオーバーフロー(Buffer Overflow)の脆弱性です。これが利用されると、オペレーティングシステム(OS)としてLinuxを搭載するクライアントやサーバなどのマシン上で任意のコードを実行することが可能になったり、それを利用して最終的にはマシンを乗っ取ることが可能となったりするかもしれない、というものです。

 バッファオーバーフローというのは代表的な脆弱性の一つですが、確保したメモリ領域を超えてデータが入力された場合に、データがあふれてしまう現象を起こす脆弱性を指します。まずはとても大ざっぱに解説します。

バッファオーバーフローとは

 プログラムが主に「一時的に利用するデータ」を格納するための領域のうち、コンパイラやOSがメモリ上に割り当てる領域「スタック」には、複数の文字情報を格納するためのバッファ領域があり、他にも子関数から親関数に戻るためのメモリアドレス(戻りアドレス、リターンアドレス)などが保持されます。

 もし、リクエストされた文字データがスタック上のバッファ領域よりも大きかったら、どうなるでしょうか。


 この文字データをバッファ領域にコピーさせようとした場合、バッファ領域より入力しようとしている文字データの方が大きいので、通常であればプログラムが単にエラーメッセージを返せばいいだけですが、


 サイズのチェックを行わずにコピーを実行する(脆弱性)関数を用いている場合など、上記のようにバッファがあふれ(これをバッファオーバーランと言います)、戻りアドレスが文字データで上書きされてしまって親関数に戻れなくなり、プログラムが誤作動を起こすことがあります。これがバッファオーバーフローという現象です。

 そして、この脆弱性を利用することで、


 上のようなデータをバッファ領域にコピーさせると、


 スタックの中身が上書きされ、本来の戻りアドレスを悪意あるコードが存在するアドレスに置き換えられたことによって、CPUはこのアドレスを参照して悪意のあるコードを実行してしまいます。かなり大ざっぱですが、これが“バッファオーバーフロー攻撃”です。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    生成 AI の真価を引き出すアプリケーション戦略--ユースケースから導くアプローチ

  2. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」

  3. セキュリティ

    5分で学ぶCIEMの基礎--なぜ今CIEM(クラウドインフラストラクチャ権限管理)が必要なのか?

  4. セキュリティ

    クラウドネイティブ開発の要”API”--調査に見る「懸念されるリスク」と「セキュリティ対応策」

  5. セキュリティ

    従業員のセキュリティ教育の成功に役立つ「従業員教育ToDoリスト」10ステップ

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]