getaddrinfo() 취약점에 대한 Glibc 패치

Question

잘 지원되는 배포판을 사용하는 경우 원본 패치 자체가 필요하지 않습니다. 대부분의 배포판은 이제 libc를 업데이트하고 이를 저장소에 푸시했습니다. 패키지 관리자를 사용하여 libc를 업그레이드하기만 하면 됩니다. (지금까지 그렇게 하지 않았다면 배포판 전환을 심각하게 고려하십시오.) 이는 확실히 Amazon Linux의 경우입니다. ~에서보안 권고:

[C]AWS가 아닌 DNS 인프라를 사용하도록 구성을 수정한 Amazon EC2를 사용하는 고객은 Linux 배포판에서 제공하는 지침에 따라 Linux 환경을 즉시 업데이트해야 합니다. AWS DNS 인프라를 사용하는 EC2 고객은 영향을 받지 않으며 어떤 조치도 취할 필요가 없습니다.

AWS가 아닌 DNS 인프라를 사용하도록 구성을 수정한 Amazon Linux를 사용하는 Amazon EC2 고객의 경우:

CVE-2015-7547에 대한 수정 사항이 심각도 등급이 "긴급"으로 Amazon Linux AMI 리포지토리에 푸시되었습니다. 2016년 2월 16일 이후에 기본 Amazon Linux 구성을 사용하여 시작된 인스턴스에는 이 CVE에 필요한 수정 사항이 자동으로 포함됩니다.

패치를 검토하려면 다음 diff --git a/resolv/nss_dns/dns-host.c b/resolv/nss_dns/dns-host.c으로 시작하는 이메일 섹션을 살펴보시기 바랍니다.

CVE-2015-7547

2016-02-15  Carlos O'Donell  

    [BZ #18665]
    * resolv/nss_dns/dns-host.c (gaih_getanswer_slice): Always set
    *herrno_p.
    (gaih_getanswer): Document functional behviour. Return tryagain
    if any result is tryagain.
    * resolv/res_query.c (__libc_res_nsearch): Set buffer size to zero
    when freed.
    * resolv/res_send.c: Add copyright text.
    (__libc_res_nsend): Document that MAXPACKET is expected.
    (send_vc): Document. Remove buffer reuse.
    (send_dg): Document. Remove buffer reuse. Set *thisanssizp to set the
    size of the buffer. Add Dprint for truncated UDP buffer.

diff --git a/resolv/nss_dns/dns-host.c b/resolv/nss_dns/dns-host.c
index a255d5e..47cfe27 100644
--- a/resolv/nss_dns/dns-host.c
+++ b/resolv/nss_dns/dns-host.c
@@ -1031,7 +1031,10 @@ gaih_getanswer_slice (const querybuf *answer, int anslen, const char *qname,
   int h_namelen = 0;

   if (ancount == 0)
-    return NSS_STATUS_NOTFOUND;
+    {
+      *h_errnop = HOST_NOT_FOUND;
+      return NSS_STATUS_NOTFOUND;
+    }

...

Answer 1

잘 지원되는 배포판을 사용하는 경우 원본 패치 자체가 필요하지 않습니다. 대부분의 배포판은 이제 libc를 업데이트하고 이를 저장소에 푸시했습니다. 패키지 관리자를 사용하여 libc를 업그레이드하기만 하면 됩니다. (지금까지 그렇게 하지 않았다면 배포판 전환을 심각하게 고려하십시오.) 이는 확실히 Amazon Linux의 경우입니다. ~에서보안 권고:

[C]AWS가 아닌 DNS 인프라를 사용하도록 구성을 수정한 Amazon EC2를 사용하는 고객은 Linux 배포판에서 제공하는 지침에 따라 Linux 환경을 즉시 업데이트해야 합니다. AWS DNS 인프라를 사용하는 EC2 고객은 영향을 받지 않으며 어떤 조치도 취할 필요가 없습니다.

AWS가 아닌 DNS 인프라를 사용하도록 구성을 수정한 Amazon Linux를 사용하는 Amazon EC2 고객의 경우:

CVE-2015-7547에 대한 수정 사항이 심각도 등급이 "긴급"으로 Amazon Linux AMI 리포지토리에 푸시되었습니다. 2016년 2월 16일 이후에 기본 Amazon Linux 구성을 사용하여 시작된 인스턴스에는 이 CVE에 필요한 수정 사항이 자동으로 포함됩니다.

패치를 검토하려면 다음 diff --git a/resolv/nss_dns/dns-host.c b/resolv/nss_dns/dns-host.c으로 시작하는 이메일 섹션을 살펴보시기 바랍니다.

CVE-2015-7547

2016-02-15  Carlos O'Donell  

    [BZ #18665]
    * resolv/nss_dns/dns-host.c (gaih_getanswer_slice): Always set
    *herrno_p.
    (gaih_getanswer): Document functional behviour. Return tryagain
    if any result is tryagain.
    * resolv/res_query.c (__libc_res_nsearch): Set buffer size to zero
    when freed.
    * resolv/res_send.c: Add copyright text.
    (__libc_res_nsend): Document that MAXPACKET is expected.
    (send_vc): Document. Remove buffer reuse.
    (send_dg): Document. Remove buffer reuse. Set *thisanssizp to set the
    size of the buffer. Add Dprint for truncated UDP buffer.

diff --git a/resolv/nss_dns/dns-host.c b/resolv/nss_dns/dns-host.c
index a255d5e..47cfe27 100644
--- a/resolv/nss_dns/dns-host.c
+++ b/resolv/nss_dns/dns-host.c
@@ -1031,7 +1031,10 @@ gaih_getanswer_slice (const querybuf *answer, int anslen, const char *qname,
   int h_namelen = 0;

   if (ancount == 0)
-    return NSS_STATUS_NOTFOUND;
+    {
+      *h_errnop = HOST_NOT_FOUND;
+      return NSS_STATUS_NOTFOUND;
+    }

...

getaddrinfo() 취약점에 대한 Glibc 패치

답변1

관련 정보