こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。
こちらでは主にOSSの脆弱性を取り上げていきます。10/31にGlusterFSのセキュリティアドバイザリ(RHSA-2018:3431, RHSA-2018:3432)と複数の脆弱性情報(CVE-2018-14651, CVE-2018-14652, CVE-2018-14653, CVE-2018-14654, CVE-2018-14659, CVE-2018-14660, CVE-2018-14661 )が公開されました。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
Priority
- CVE-2018-14651
Important
- SuSE
- Red Hat Customer Potal
- CVSS v3 Base Score: 8.8
- Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
- NVD
- SuSE
- CVE-2018-14652
Moderate
- SuSE
- Red Hat Customer Potal
- CVSS v3 Base Score: 6.5
- Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
- NVD
- SuSE
- CVE-2018-14653
Moderate
- SuSE
- Red Hat Customer Potal
- CVSS v3 Base Score: 6.5
- Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
- NVD
- SuSE
- CVE-2018-14654
Moderate
- SuSE
- Red Hat Customer Potal
- CVSS v3 Base Score: 5.4
- Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
- NVD
- SuSE
- CVE-2018-14659
Moderate
- SuSE
- Red Hat Customer Potal
- CVSS v3 Base Score: 6.5
- Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
- NVD
- SuSE
- CVE-2018-14660
Moderate
- SuSE
- Red Hat Customer Potal
- CVSS v3 Base Score: 6.5
- Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
- NVD
- SuSE
- CVE-2018-14661
Moderate
- SuSE
- Red Hat Customer Potal
- CVSS v3 Base Score: 6.5
- Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
- NVD
- SuSE
修正方法
各ディストリビューションの情報を確認してください。
CVE概要(詳細はCVEのサイトをご確認ください)
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-14651
- 攻撃者によるファイル作成と任意のコード実行・DoSの可能性
- 重要度 – Important
- CVE-2018-10927, CVE-2018-10928, CVE-2018-10929, CVE-2018-10930, CVE-2018-10926での修正が不完全だったことがわかりました。リモートの認証されていない攻撃者が、この脆弱性を用いて任意のコードを実行したり、任意のファイルの作成、相対パスへのシンボリックリンクを通してのglusterfsサーバへのDoS攻撃等を行うことが可能です。
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-14652
- 攻撃者によるDoSの可能性
- 重要度 – Moderate
- pl_getxattr()関数中のstrncpyにバッファーオーバーフローの脆弱性が見つかりました。認証されていない攻撃者はこれを用いて、鍵サイズよりも大きい文字列のバッファーを送ることにより、リモートからバッファーオーバーフローを引き起こしてDoSを引き起こすことができる可能性があります。
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-14653
- 攻撃者によるDoSと任意のファイルの読み込みの可能性
- 重要度 – Moderate
- gf_getspec_req RPCリクエストのヒープオーバーフローが見つかりました。リモートの認証されていない攻撃者は、これを利用してglusterfsサーバノードにDoSを引き起こし、glusterfsサーバノード上の任意のファイルを読むことが出来る可能性があります。
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-14654
- glusterfsサーバノード上の任意のファイルの作成・削除の可能性
- 重要度 – Moderate
- glusterfsサーバのクライアントリクエストの処理に脆弱性が見つかりました。リモートの認証されていない攻撃者は、xattropファイル竿うさの際にGF_XATTROP_ENTRY_IN_KEY と GF_XATTROP_ENTRY_OUT_KEY に任意の値をセットすることにより、glusterfsサーバノード上に任意のファイルを作成・削除することが出来る可能性があります。
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-14659
- glusterfsサーバへのDoSの可能性
- 重要度 – Moderate
- glusterfsサーバに、クライアントがio-statsダンプをサーバノード上に作成できるという問題が見つかりました。リモートの、認証されていない攻撃者はこれを利用してio-statsダンプをサーバ上に制限なしに作成し、全てのinode上に用いることで、DoSを引き起こす事が出来る可能性があります。
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-14660
- glusterfsサーバノード上のメモリの大量消費によるDoSの可能性
- 重要度 – Moderate
- glusterfsサーバに、GF_META_LOCK_KEY xattrの再利用を許可する問題が見つかりました。リモートの認証されていない攻撃者は、これを利用して複数のロックをsetxattrを繰り返すことにより単一のinodeに作成し、glusterfsサーバノード上のメモリの大量消費を行うことが出来る可能性があります。
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-14661
- glusterfsサーバへのDoSの可能性
- 重要度 – Moderate
- glusterfsサーバ上のfeature/locksトランスレータに危険なsnprintf関数を使っている箇所が見つかりました。リモートの、認証された攻撃者はこの問題を利用してDoSを引き起こす事が出来る可能性があります。
D
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
- Debian
https://security-tracker.debian.org/tracker/CVE-2018-14651
https://security-tracker.debian.org/tracker/CVE-2018-14652
https://security-tracker.debian.org/tracker/CVE-2018-14653
https://security-tracker.debian.org/tracker/CVE-2018-14654
https://security-tracker.debian.org/tracker/CVE-2018-14659
- Red Hat Enterprise Linux/CentOS
https://access.redhat.com/security/cve/CVE-2018-14651
https://access.redhat.com/security/cve/CVE-2018-14652
https://access.redhat.com/security/cve/CVE-2018-14653
https://access.redhat.com/security/cve/CVE-2018-14654
https://access.redhat.com/security/cve/CVE-2018-14659
- Ubuntu
https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-14651.html
https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-14652.html
https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-14653.html
https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-14654.html
https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-14659.html
https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-14660.html
https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-14661.html
- SUSE/openSUSE
https://www.suse.com/security/cve/CVE-2018-14651.html
https://www.suse.com/security/cve/CVE-2018-14652.html
https://www.suse.com/security/cve/CVE-2018-14653.html
https://www.suse.com/security/cve/CVE-2018-14654.html
https://www.suse.com/security/cve/CVE-2018-14659.html
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。
また、OSの再起動が発生しますので、peacemakerなどOSSのクラスタ製品を使うとサービス断の時間を最小限にすることが出来ます。
[参考]
セキュリティ系連載案内
- OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
- OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
- OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2017のレポートが紹介されています。
- OSSセキュリティ技術の会の面により、@ITで「OSS脆弱性ウォッチ」が連載されています。
- OSSセキュリティ技術の会の面により、@ITで「OpenSCAPで脆弱性対策はどう変わる?」が連載されています。
セミナー情報 1
2018/11/05 19:00に、「2018年秋のBPFまつり」と題しまして、OSSセキュリティ技術の会 第四回勉強会を行います。
今回のテーマはBPF(Berkeley Packet Filter)になります。
https://secureoss-sig.connpass.com/event/103763/がプログラム内容と申し込みの詳細になります。奮ってご参加下さい。
セミナー情報 2
2018/11/14 17:00に、「NGINX MeetUp Tokyo #1」を行います。
今回はNGINX .conf 2018 現地参加者より最新情報を共有させて頂きます。
https://nginx-mj.connpass.com/event/103617/がプログラム内容と申し込みの詳細になります。奮ってご参加下さい。
