タグ glibc
人気順 10 users 50 users 100 users 500 users 1000 usersOpenSSHに重大な脅威となる脆弱性「regreSSHion」(CVE-2024-6387)が発覚、ほぼすべてのLinuxシステムに影響
セキュリティ企業・Qualysの脅威調査ユニット(TRU)の研究者たちが、GNU Cライブラリ(glibc)に依存するLinuxにおけるOpenSSHサーバーの重大なセキュリティ脆弱(ぜいじゃく)性を発見しました。この脆弱性は「regreSSHion」と名付けられ、認証なしのリモートからroot権限で任意コード実行が可能となる重大な脅威です。 regr... 続きを読む
多数の「Linux」ディストリビューションに影響する脆弱性--パッチ適用を
Qualysの脅威調査部門(TRU)は米国時間10月3日、GNU Cライブラリ(glibc)でセキュリティーホールを発見したと報告した。この脆弱性(CVE-2023-4911)は「Looney Tunables」と呼ばれ、深刻度をスコアで表す「脆弱性評価システム(CVSS)」では7.8、「重要」(Important)と評価されている。 最もリスクが高い「深刻」(... 続きを読む
環境変数 PATH に空文字があるとカレントディレクトリが指定されているのと同じ意味になる
何だと!? タイトルのまんま。 恥ずかしながらこれ今まで知らなかった。 もしかして常識だったりする? ちなみに確認したのは Linux だけど、glibc の posix サブディレクトリ配下の execl* の挙動なので glibc 使ってればみんな一緒じゃないかな?知らんけど… 環境変数 PATH が設定されていない時 unset PATH とした状... 続きを読む
GNU AWK 5.0がリリース。8年ぶりのメジャーバージョンアップ。正規表現ライブラリがGLIBCからGNULIBへ移行、名前空間が実装 - Publickey
GNU AWK 5.0がリリース。8年ぶりのメジャーバージョンアップ。正規表現ライブラリがGLIBCからGNULIBへ移行、名前空間が実装 UnixやLinuxにおいてsedやgrepなどと並んでよく知られているツールの1つがawk(オーク)です。このawkのGNUプロジェクトによる実装の最新版「GNU AWK 5.0」(gawk 5.0)のリリースが発表されまし... 続きを読む
本の虫: glibcのabortマニュアルの中絶方針ジョークについて
Who controls glibc? [LWN.net] 「glibcのabortのマニュアルにはabort(終了)とabortion(中絶)をかけた中絶ジョークがあり、これはマニュアルとして有益ではなくて混乱の元なので削除するというパッチが提出され、受け入れられたが、RMSの反対により差し戻された」 これだけ読むとくだらない出来事のように思えるし、人によってはこのジョークの存在が好ましくないと... 続きを読む
Linuxなどのスタック管理機構において権限昇格が可能な脆弱性が発見される。多くのLinuxディストーションに影響 | スラド オープンソース
LinuxやUNIX系OSにおいて、一般ユーザーが不正に特権を得ることができる「Stack Guard Page Circumvention」と呼ばれる攻撃手法が発見された( Red Hat Customer Portal )。Linuxカーネルやglibc、sudoなどの脆弱性を利用するもので、幅広い影響が出るようだ。 ベースとなっているのは、 スタック領域 に多量のメモリ割り当てとデータ書き込... 続きを読む
GNU Cライブラリの脆弱性(CVE-2015-7547)についてまとめてみた - piyolog
2016年2月17日に公開されたGNU Cライブラリの複数の脆弱性の内、CVE-2015-7547は任意のコードが実行可能であるとしてGoogleが報告しています。ここではこれら脆弱性に関連する情報をまとめます。 脆弱性情報 JVNVU#97236594: glibc にバッファオーバーフローの脆弱性 CVE CVE-2015-7547 CVE-2015-8776 CVE-2015-8778 CV... 続きを読む
glibcの脆弱性対策(取り急ぎiptables/firewalldで叩き落とす!)for CVE-2015-7547 - Qiita
はじめに glibcでヤバメな脆弱性キター! 「glibc」ライブラリに脆弱性、Linuxの大部分に深刻な影響 - ITmedia エンタープライズ Google Online Security Blog: CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow CVE-2015-7547: Critical Vulnerabili... 続きを読む
【セキュリティ ニュース】Linuxなどで利用する「glibc」に深刻な脆弱性 - コード実行のおそれ(1ページ目 / 全1ページ):Security NEXT
Linuxで利用されるGNUのCライブラリ「glibc」に、深刻なバッファオーバーフローの脆弱性「CVE-2015-7547」が含まれていることがわかった。修正パッチが公開されている。 同脆弱性は、関数「getaddrinfo」を利用し、クライアント側で名前解決を行う際にバッファオーバーフローが生じる可能性があるもの。2008年5月に公開された「同2.9」以降のすべてのバージョンが影響を受けるとい... 続きを読む
glibcのmalloc(3)とLinuxカーネルのovercommitとOOM - φ(・・*)ゞ ウーン カーネルとか弄ったりのメモ
2015 - 12 - 23 glibcのmalloc(3)とLinuxカーネルのovercommitとOOM この記事は Linux Advent Calendar 2015の23日目 です。 glibc の malloc (3)と Linux カーネル のovercommitとOOMの関連でも見てみようと思います。 Linux カーネル の システムコール には malloc (3)的なものは... 続きを読む
glibcを更新しても大丈夫な「正しい」タイムゾーンの設定方法 - めもおきば
RHEL, CentOS, Amazon Linux/etc/localtime を /usr/share/zoneinfo 以下から上書きしたりシンボリックリンク張ったりという手法が横行していますが、 /etc/localtime は glibc パッケージに含まれるためパッケージを更新すると上書きされてESTとかに戻ってしまうわけです。当然ながら、ディストリビューションとして正しい設定方法が用... 続きを読む
GHOST 脆弱性は如何様に使うのか - TIM Labs
先日 GHOST と呼ばれる glibc の脆弱性が発表された。なんでも、「リモートから任意のコードを実行できる可能性がある」らしいではないか。しかも様々なプログラムで利用されているライブラリ部分の問題とあって、影響範囲がとても広い。なかなか厄介なことである。 はて、しかし一体全体どうやってリモートから任意のコードを実行しようというのだろう? 話を聞くに、たかが数バイトの情報を範囲外のメモリに書き... 続きを読む
glibc の脆弱性対策について(CVE-2015-0235):IPA 独立行政法人 情報処理推進機構
多くの Linux ディストリビューションに含まれるライブラリである The GNU C Library (以下、glibc) にバッファオーバーフローの脆弱性が存在します。この脆弱性を悪用された場合、アプリケーションの異常終了や、任意のコードが実行可能になる可能性があります。 この脆弱性は、ソフトウェアが glibc を使用している場合に影響を受ける可能性がありますが、実際に影響を受けるかどうか... 続きを読む
Linuxに存在する脆弱性「GHOST」、システム管理者は落ち着いて対処を | トレンドマイクロ セキュリティブログ
Linux GNU Cライブラリ(glibc)に存在する脆弱性がセキュリティ企業「Qualys」によって確認されました。この脆弱性「CVE-2015-0235」が利用されると、Linuxのオペレーティングシステム(OS)を搭載する PC上で任意のコードを実行することが可能になり、結果的にサーバーの乗っ取りや不正プログラムを感染させることができます。「Heartbleed」や「Shellshock」... 続きを読む
Linuxに広く影響するglibcの脆弱性「GHOST」が発見される、最新版へのアップデートを -INTERNET Watch
ニュース Linuxに広く影響するglibcの脆弱性「GHOST」が発見される、最新版へのアップデートを (2015/1/28 17:49) セキュリティ企業の米Qualysは27日、Linuxで広く利用されているGNU Cライブラリ(glibc)にバッファオーバーフローの脆弱性が存在するとして、情報を公開した。脆弱性は、Debian GNU/Linux、Red Hat Enterprise Li... 続きを読む
GHOST脆弱性にyum update glibc、その後リブートする前に - Qiita
CentOS7で遭遇したトラブル。 本日話題のGHOST脆弱性にyum updateでパッチを当てたところ SSHログインできなくなってしまった というものです。 root権限でyum update → もちろん成功 (この時点で /root/.ssh/authorized_keys が空ファイルになってしまったよう) リブートしてSSHで再ログインを試みる。公開鍵認証が通らない。 パスワード認証... 続きを読む
Linuxに深刻なセキュリティホール「GHOST」、今すぐパッチが必要 - ZDNet Japan
クラウドセキュリティ企業Qualysの研究者が、Linux GNU Cライブラリ(glibc)に深刻なセキュリティホールである「GHOST」(CVE-2015-0235)を発見した。この脆弱性を利用すると、ハッカーはIDやパスワードを知らなくてもシステムをリモートから乗っ取ることができる。 Qualysはただちにこのセキュリティホールについて主なLinuxの配布元に警告を送り、多くの配布元がすでに... 続きを読む
glibcのgethostbyname関数に存在するCVE-2015-0235(GHOST)脆弱性について - ブログ - ワルブリックス株式会社
glibcのgethostbyname系関数に脆弱性の原因となるバグが発見されCVE-2015-0235(GHOST)と命名されたようです。相当多くのアプリケーションがこの脆弱性の影響を受けることが予想されます。 glibcは libcのGNUバージョンです。libcはアプリケーションではなく、事実上全てのアプリケーションが利用しているライブラリです。OSの中ではカーネルに次いで重要な部分と言えま... 続きを読む
本の虫: Debianがeglibcからglibcに戻る
2014-06-19 Debianがeglibcからglibcに戻る Debianはしばらく、libcとして、glibcではなく、glibcと互換性を維持したforkであるeblicを使っていたが、このたび、glibcに戻る決定をしたそうだ。 glibcを使っていた理由はいろいろあるが、Debianにとって重要なパッチが、glibcでは開発体制の問題により受け入れられないという政治的な理由もあった... 続きを読む
革命の日々! mallocの発音について
すごい昔に glibc mallocの内部実装についての解説をGoogle Videoにアップロードしたことがあるんだけど(*)、そのときにmallocを「まろっく」と発音していたらすごい勢いでツッコミをもらった。エムアロック派とメイロック派の両方に怒られた。 ところで、先週 glibcのメンテナと一緒に食事をする機会があり、glibcの今後の開発について相談をしたりしてたのだけど、がんばって「め... 続きを読む
glibcの歴史 - karasuyamatenguの日記
02:23普段あまり意識しないしないlibcだが、カーネルの門番とも言える重要なコンポーネントだ。Linuxで標準のlibcはGNU libc、略してglibc。最近このglibcのsteering committeeが解散した。これをうけてlwn.netのJonathan Corbetがglibcの歴史をふりかえる。http://lwn.net/SubscriberLink/488847/cb9... 続きを読む
いやなブログ: 普通のやつらの下を行け: C でバックトレース表示
普通のやつらの下を行け: C でバックトレース表示 普通のやつらの下を行けの第2回として、今回は glibc の関数を使って C でバックトレース (スタックトレース) の表示を行ってみます。 バックトレースとは バックトレースとは、大ざっぱに言うと、現在の関数に至るまでの道筋です。たとえば、次の Ruby プログラムを実行すると、 1 / 0 の行で例外が発生して、バックトレースの表示とともにプ... 続きを読む