Stack Clash脆弱性対応まとめ
基盤ユニットの貞方(@sadapon2008)です。 Stack Clash脆弱性の対応について調べた情報をまとめておきます。
Stack Clashとは
セキュリティ企業のQualys社が6月19日に公表した、ローカルからの特権昇格の恐れがある脆弱性です。 対象OSはLinux系、BSD系、Solaris系に影響があるとのことです。 今のところリモートからの攻撃成功可能性は低いようですが、昔問題になったShellShockのようなものと組み合わさるとまずいです。
Qualys社の公表記事はこちらです。
https://blog.qualys.com/securitylabs/2017/06/19/the-stack-clash
メディア記事
対応方法
根本的にはアプリケーションバイナリの再コンパイルが必要とのことですが、kernelとglibcで影響を軽減するためのアップデートが公開されているようです。kernelとglibcを更新したらシステムを再起動をした方がよさそうです。 ここではLinux系のアップデート情報をまとめておきます。
Red Hat Enterprise Linux(RHEL)
RedHat社が特設サイトを開設しています。
https://access.redhat.com/security/vulnerabilities/stackguard
RHEL5~7のアップデートが公開されています。
CentOS
CentOS6~7のアップデートが公開されています。
[CentOS-announce] CESA-2017:1486 Important CentOS 6 kernel Security Update
[CentOS-announce] CESA-2017:1480 Important CentOS 6 glibc Security Update
[CentOS-announce] CESA-2017:1481 Important CentOS 7 glibc Security Update
[CentOS-announce] CESA-2017:1484 Important CentOS 7 kernel Security Update
CentOS5はすでに本家のRHEL5が通常サポート終了で延長サポートフェーズになってしまったため、RHEL5のアップデートが一般公開されておらず、CentOS5のアップデートパッケージを作成できない状況のようです。 海外フォーラムで見かけたアドバイスとして「有償サポートつきのRHEL5を購入して移行する」というのもありましたがそのあたりはシステム次第でしょう。 また、独自にCentOS5のサポートを提供しているベンダもあるようです。
Ubuntu
公式の質問フォーラムに情報がまとまっていました。
Amazon Linux
アップデートが公開されています。
AWS全般についてはこちらにまとまっています。