2016年2月17日、Linuxなどで幅広く使用されているライブラリglibcに脆弱性が見つかりました。緊急度がCriticalな脆弱性も含まれています。

これにより、バッファオーバーフローと、リモートから任意のコードを実行される可能性があります。この脆弱性は多くのシステムで名前解決に使われている「getaddrinfo()」という関数を利用することで発生するため、多くのアプリケーションが影響を受けます。

◆Z.comのお客様への影響と対策◆

Z.comで提供しているOSには、この脆弱性の影響を受けるものがあります。影響を受けるものは下記です。これらのイメージをお使いのお客様におかれましては、「glibcのアップデート」と「アップデート後のバージョンの確認」を行って頂くようお願いいたします。

また、アプリケーションイメージについてはCentOSとUbuntuをベースに構築されているため、各OSと同じ手順を実行して下さい。(Docker、DroneについてはUbuntu、他は全てCentOSになります)

※Fedora23, Fedora22, openSUSE42.1, Arch Linuxについては、現在アップデートが提供されていません
※お使いのミラーサイトによっては、まだ最新のglibcが反映されていない場合がありますのでご注意下さい

-----------------------------------------------------------------------------------------------------------------------------------------------------

参考情報

CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow

「glibc」ライブラリに脆弱性、Linuxの大部分に深刻な影響 – ITmedia エンタープライズ

CentOS
https://lists.centos.org/pipermail/centos-announce/2016-February/021672.html
https://lists.centos.org/pipermail/centos-announce/2016-February/021668.html

Ubuntu
http://www.ubuntu.com/usn/usn-2900-1/

Debian
https://security-tracker.debian.org/tracker/CVE-2015-7547

Fedora
https://bugzilla.redhat.com/show_bug.cgi?id=1308943

Scientific
https://www.scientificlinux.org/sl-errata/slsa-20160176-1/

openSUSE
https://bugzilla.novell.com/show_bug.cgi?id=CVE-2015-7547

Arch Linux
https://bugs.archlinux.org/task/48213