glibcの複数の脆弱性(Important: CVE-2024-33599, Moderate: CVE-2024-33600, Low: CVE-2024-33601, CVE-2024-33602)

04/23/2024にglibcの複数の脆弱性(Important: CVE-2024-33599, Moderate: CVE-2024-33600, Low: CVE-2024-33601, CVE-2024-33602)が公開されました。遅くなりましたが、今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。

[過去関連リンク(最新5件)]

• glibcの脆弱性(Important: CVE-2023-6246)
• glibcの脆弱性(“Looney Tunables”, Important: CVE-2023-4911 )

CVSS/プライオリティ

• CVE-2024-33599
  • 影響するバージョン
    • 2.15 <= glibc
  • 一次情報源
    • GLIBC-SA-2024-0005
  • Priority
    • Red Hat: 7.6 Important
  • CVSS Score / CVSS Vector
    • Red Hat: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:H
• CVE-2024-33600
  • 影響するバージョン
    • 2.15 <= glibc
  • 一次情報源
    • GLIBC-SA-2024-0006
  • Priority
    • Red Hat: 5.3 Moderate
  • CVSS Score / CVSS Vector
    • Red Hat: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
• CVE-2024-33601
  • 影響するバージョン
    • 2.15 <= glibc
  • 一次情報源
    • GLIBC-SA-2024-0007
  • Priority
    • Red Hat: 4.0 Low
  • CVSS Score / CVSS Vector
    • Red Hat: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
• CVE-2024-33602
  • 影響するバージョン
    • 2.15 <= glibc
  • 一次情報源
    • GLIBC-SA-2024-0008
  • Priority
    • Red Hat: 4.0 Low
  • CVSS Score / CVSS Vector
    • Red Hat: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-33599
  • スタックベースバッファーオーバーフローの脆弱性
  • Name Service Cache Daemon(nscd)の固定されたサイズ長がクライアントのリクエストにより枯渇した場合、続くクライアントのnetgroupデータに対するリクエストがスタックベースバッファーオーバーフローを引き起こす可能性があります。この脆弱性はglibc 2.15でnscdにキャッシュが実装された時に混入しました。
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-33600
  • NULLポインタ被参照の脆弱性
  • Name Service Cache Daemon(nscd)のキャッシュがnetgroupからの「見つからなかった」という応答をキャッシュに加える際にfailした場合、クライアントのリクエストがNULLポインタ被参照を引き起こす可能性があります。この脆弱性はglibc 2.15でnscdにキャッシュが実装された時に混入しました。
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-33601
  • DoSの可能性
  • Name Service Cache Daemon(nscd)のnetgroupキャッシュがxmallocまたはxreallocを使用し、これらの関数がメモリアロケーションフェーラーでプロセスを終了された場合、クライアントにDoSを引き起こすことが出来る可能性があります。この脆弱性はglibc 2.15でnscdにキャッシュが実装された時に混入しました。
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-33602
  • スタックベースバッファーオーバーフローの脆弱性
  • Name Service Cache Daemon(nscd)のnetgroupキャッシュは、NSSコールバックが与えられたバッファー中の文字列全てを収納できない場合にメモリ不整合を引き起こす可能性があります。この脆弱性はglibc 2.15でnscdにキャッシュが実装された時に混入しました。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

• Debian
  • https://security-tracker.debian.org/tracker/CVE-2024-33599
  • https://security-tracker.debian.org/tracker/CVE-2024-33600
  • https://security-tracker.debian.org/tracker/CVE-2024-33601
  • https://security-tracker.debian.org/tracker/CVE-2024-33602
• Red Hat Enterprise Linux/CentOS/Rocky Linux/Alma Linux
  • https://access.redhat.com/security/cve/CVE-2024-33599
  • https://access.redhat.com/security/cve/CVE-2024-33600
  • https://access.redhat.com/security/cve/CVE-2024-33601
  • https://access.redhat.com/security/cve/CVE-2024-33602
• Ubuntu
  • https://ubuntu.com/security/CVE-2024-33599
  • https://ubuntu.com/security/CVE-2024-33600
  • https://ubuntu.com/security/CVE-2024-33601
  • https://ubuntu.com/security/CVE-2024-33602
• SUSE/openSUSE
  • https://www.suse.com/security/cve/CVE-2024-33599.html
  • https://www.suse.com/security/cve/CVE-2024-33600.html
  • https://www.suse.com/security/cve/CVE-2024-33601.html
  • https://www.suse.com/security/cve/CVE-2024-33602.html

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。

[参考]

• GLIBC-SA-2024-0005
• GLIBC-SA-2024-0006
• GLIBC-SA-2024-0007
• GLIBC-SA-2024-0008

その他CM

脅威動向に関する情報はこちら（外部サイト）をご参照下さい。