セキュリティの論点

Linuxに潜む脆弱性「GHOST」とは何だったのか - (page 3)

中山貴禎(ネットエージェント)

2015-03-14 07:00

 ところで、本件が非常に重大な脆弱性であることは間違いありませんが、セキュリティ関連組織の評価については、深刻ではあるがそこまで緊急性の高い脅威ではないという評価も少なくありません。その理由については、一つには、先にも書きましたが本件はglibc-2.18以降で既に修正されていたという点、そしてもう一つは、本脆弱性を攻撃に利用するのは難しいのではないかと考えられる点によるものと思われます。

 まず、この脆弱性は特殊なホスト名を渡すとホスト名末尾数バイトの情報があふれるというもので、これによって32ビットのシステムでは4バイト、64ビットのシステムで8バイトのオーバーランが発生します。逆に言えば、わずかそれだけの情報しか書き込めないのです。この脆弱性からサーバなどのハイジャックを達成しようとすると、例えば相応の手順を踏んで、小さな穴を少しずつ大きく広げていかなければならず、かなり手間がかかります。

 この脆弱性を有するgethostbyname関数を呼び出すプログラムであっても、そこから実際に攻撃を成功させるのはそう簡単なことではないという事情がある、という話のようです。さらに、IPv6が現実に使われ始めてきたことにより、今このgethostbynameシリーズを用いることは推奨されておらず、代わりに「getaddrinfo()」関数を関数を用いるアプリケーションも増えているという事情もあるようです。

 とはいっても、理論上可能であることは確かなわけですし、放置していいものでは決してありません。もし仮にサーバなどが乗っ取られてしまえば攻撃者の思うまま、そこから先の被害は天井知らずになるでしょう。もしも本脆弱性に影響される可能性がある製品、ソフトウェアを現在もまだ利用されている場合は、可及的速やかなパッチ適用、バージョンアップの実施を強く推奨します。

中山貴禎
トヨタや大手広告代理店など、さまざまな業界を渡り歩き、2010年1月よりネットエージェント取締役。機密情報外部流出対策製品のPM兼務。クラウド関連特許取得、米SANSにてトレーニング受講等、実務においても精力的に活動。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

  4. クラウドコンピューティング

    Snowflakeを例に徹底解説!迅速&柔軟な企業経営に欠かせない、データ統合基盤活用のポイント

  5. ビジネスアプリケーション

    AI活用の上手い下手がビジネスを左右する!データ&AIが生み出す新しい顧客体験へ

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]