02.20.15

背景情報

2015年初頭に、重大なセキュリティの脆弱性がglibcパッケージに見つかりました。glibcとは、標準のCライブラリの実装で、MarkLogicで現在サポートされているすべてのLinuxディストリビューションのコアパーツです。コード監査はQualys調査グループによって実施されており、セキュリティアドバイザリ(https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-2015.txt)が公開されました。

影響

これはGHOST脆弱性と呼ばれ、GetHOST関数で起動されます。Qualysが公開したブログ投稿によると、この脆弱性は、glibcの__nss_hostname_digits_dots()内のバッファーオーバーフローであると説明されています。このバグは、すべてのgethostbyname*()関数を経由してローカルおよびリモートの両方で起動されます。アプリケーションは、主に関数のgethostbyname*()のsetによってDNSリゾルバへのアクセスを取得します。これらの関数は、ホスト名をIPアドレスに変換します。

解決方法

MarkLogicでは、まず次の記事にお読みになり、変更点を理解することをお勧めします。システムに手動でパッチを適用する場合は、glibcライブラリを更新してから脆弱性にパッチを確実に適用してください。

https://access.redhat.com/security/cve/CVE-2015-0235

https://rhn.redhat.com/errata/RHSA-2015-0099.html

別のLinuxディストリビューションを使用している場合は、最初にこのページでリンクされているリファレンスをお読みください。疑問点がある場合は、ベンダーに直接お問い合わせください。

https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability

MarkLogicのパフォーマンスは、パッチを適用されたglibcライブラリによる影響を受けないため、ベンダー提供の手順に従って更新することをお勧めします。

また、MarkLogicでは、追加のセキュリティレイヤーを製品に追加し、パッチが適用されていないシステムをこの脆弱性から保護しています。このパッチは、MarkLogic 8にすでにアップグレードしているユーザーであればすぐに利用できます。MarkLogicでは、MarkLogic 6および7にすでにパッチを適用しており、次に予定されているリリース(執筆時点では6.0-6および7.0-5)もこの脆弱性に対応します。

パッチ適用済みの製品のリリースに対して、脆弱性を悪用しようとすると、サーバーはクエリを終了し、例外を返します。

パッチが適用されていないシステムでMarkLogic 8を実行している場合、ホストでMarkLogicを起動すると、次のメッセージが表示されます。

YYYY-MM-DD HH:MM:SS.sss Warning: Guarding against detected Linux glibc GHOST vulnerability

その他の情報

MarkLogic 8は、http://developer.marklogic.com/productsからダウンロードできます。

当ウェブサイトではクッキーを使用しています。

当Webサイトを継続利用することにより、お客様はMarkLogicのプライバシーステートメントに従ってクッキーの使用に同意するものとします。