セキュリティアドバイザリー

概要

2月16日 (火) に、研究者が標準 C ライブラリである glibc ライブラリの新しい脆弱性の詳細を公開しました。この脆弱性は、ホスト名を IP アドレスに変換するために使用されるコードに存在しました。これを使用したプロセスは、CDN などのネットワークサービスプロバイダーに非常に広く普及しています。

Fastly は、影響を受けるシステムにセキュリティ更新プログラムを直ちに導入しました。お客様によるアクションは必要ありません。Fastly のサービスは影響を受けませんでした。

影響

更新プログラムの導入によるお客様への影響はありませんでした。

解決方法/回避策

2月16日 (火) に、Fastly は影響を受ける本番システムにベンダーから提供されたセキュリティ更新プログラムをデプロイして、この脆弱性の根本原因に対処しました。お客様によるアクションは必要ありません。

詳細

glibc の DNS クライアント側リゾルバ (クライアントがホスト名を IP アドレスに解決するために使用する glibc のコンポーネント) で、スタックベースのバッファーオーバーフローが発見されました。攻撃者がこのソフトウェアの脆弱性を悪用するためには、制御するホスト名に対して DNS ルックアップを実行できる必要があります。

Fastly のシステムの多くは、お客様のオリジンサーバーのホスト名解決など、さまざまな理由で DNS ルックアップを実行します。Fastly は直ちに、お客様の情報を扱うシステムを優先として影響を受けたバージョンの glibc を使用しているシステムを評価し、ベンダーから glibc の完全なパッチが提供されると即座に導入しました。

Fastly のシステムは、ASLR やその他のランタイムメモリ破損対策を有効にして構築されています。ASLR はアドレス空間のランダム化手法の1つであり、この脆弱性を利用した攻撃をより困難にします。Fastly はこの脆弱性に関連するとみられるクラッシュが発生しないかどうか、システムを注意深く監視しましたが、攻撃が試みられた兆候はありませんでした。

詳細情報

glibc の脆弱性の詳細については、この問題に関して公開されているこのブログ記事を参照してください。詳細な情報は、GNU C ライブラリのメーリングリストのこのスレッドに記載されています。