ところで、本件が非常に重大な脆弱性であることは間違いありませんが、セキュリティ関連組織の評価については、深刻ではあるがそこまで緊急性の高い脅威ではないという評価も少なくありません。その理由については、一つには、先にも書きましたが本件はglibc-2.18以降で既に修正されていたという点、そしてもう一つは、本脆弱性を攻撃に利用するのは難しいのではないかと考えられる点によるものと思われます。
まず、この脆弱性は特殊なホスト名を渡すとホスト名末尾数バイトの情報があふれるというもので、これによって32ビットのシステムでは4バイト、64ビットのシステムで8バイトのオーバーランが発生します。逆に言えば、わずかそれだけの情報しか書き込めないのです。この脆弱性からサーバなどのハイジャックを達成しようとすると、例えば相応の手順を踏んで、小さな穴を少しずつ大きく広げていかなければならず、かなり手間がかかります。
この脆弱性を有するgethostbyname関数を呼び出すプログラムであっても、そこから実際に攻撃を成功させるのはそう簡単なことではないという事情がある、という話のようです。さらに、IPv6が現実に使われ始めてきたことにより、今このgethostbynameシリーズを用いることは推奨されておらず、代わりに「getaddrinfo()」関数を関数を用いるアプリケーションも増えているという事情もあるようです。
とはいっても、理論上可能であることは確かなわけですし、放置していいものでは決してありません。もし仮にサーバなどが乗っ取られてしまえば攻撃者の思うまま、そこから先の被害は天井知らずになるでしょう。もしも本脆弱性に影響される可能性がある製品、ソフトウェアを現在もまだ利用されている場合は、可及的速やかなパッチ適用、バージョンアップの実施を強く推奨します。
- 中山貴禎
- トヨタや大手広告代理店など、さまざまな業界を渡り歩き、2010年1月よりネットエージェント取締役。機密情報外部流出対策製品のPM兼務。クラウド関連特許取得、米SANSにてトレーニング受講等、実務においても精力的に活動。