Linuxできわめて重大で危険な脆弱性「GHOST」を確認

米国のセキュリティベンダー「Qualys」の研究者らは1月27日(米国時間)、「oss-security - Qualys Security Advisory CVE-2015-0235 - GHOST: glibc gethostbyname buffer overflow」において、Linuxで広く採用されている基本ライブラリGNU C Library (glibc)の__nss_hostname_digits_dots()関数にバッファオーバーフローの脆弱性が存在することを明らかにした。この脆弱性を悪用されると遠隔から任意のコードを実行される危険性があり、その際に認証情報などを必要しないため危険性が高いと認識されている。

Qualysの研究者らはこの脆弱性の動作を確認するため、32ビットおよび64ビットの双方のマシンにおいてEximメールサーバを立ち上げ、攻撃が可能であるかどうかを実証。どちらのマシンでも攻撃が可能だったと説明されている。この脆弱性は2000年にリリースされたGNU C Library glibc-2.2より存在しており、10年以上にわたって脆弱性が存在し続けたことになる。