■概要
本脆弱性は、glibcライブラリに含まれるgethostbynameなどの関数の引数に細工したホスト名を渡すことにより、バッファーオーバーフローが発生します。
詳細は、JVN(Japan Vulnerability Notes)のサイトを参照してください。
-JVNVU#99234709: glibc ライブラリにバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU99234709/index.html
本脆弱性に対しては、LBで提供するサービスの範囲において以下の通り影響はありません。
しかし、全LB製品に含まれるglibcは脆弱性の対象となるバージョンとなりますので、根本対処のために下記の[■対応方法]に従って、対応を行ってください。
(2015/2/2 情報公開)
(2015/3/25情報更新)
■脆弱性の影響を受けないサービス
本脆弱性に対しては、LBで提供している以下のサービスの範囲においては、
gethostbyname()などで影響を受けることはありません。
- Management Console
- LBに関係する負荷分散機能(L4,L7)
- 時刻調整(ntpd)
- ネットワーク管理エージェント(snmpd)
- 二重化機能(CLUSTERPRO Xを除く機能範囲)
- SSLアクセラレータ
- ESMPRO/ServerAgent(Linux) [2015/2/5更新]
■その他
UPS関連,CLUSTERPRO X,その他追加インストールするソフトウェアは該当する製品にお問い合わせください。
(InterSec/LB400i,LB400i2、InterSecVM/LB V3.0 では、二重化機能としてCLUSTERPRO Xが動作しています)
■対応方法
前述の通り、LBの各種機能において本脆弱性の影響はありませんが、
根本対処のためCVE-2015-0235脆弱性に対処したパッケージを、個別提供します。
関連情報のリンク『【Express5800/LB, InterSec/LB, InterSecVM/LB, InterSecVM/LBc】
glibc脆弱性(CVE-2015-0235)に関する対応パッケージの個別提供』を参照の上、
適用をお願いします。
なお、CVE-2015-0235の脆弱性に対処したパッケージは、
適用方法が利用されている環境により注意が必要となるため、
関連情報のリンク先(コンテンツID:9010103795)からのみ
で提供しています。リンク先よりパッケージをダウンロード
して適用してください。
ManagementConsole「パッケージ」画面から適用できる形式
での公開予定はありません。[2015/3/25更新]
Express5800/LB300g
Express5800/LB400g
Express5800/LB400h
Express5800/R110d-1M(LB400h2)
InterSec/LB400i
InterSec/LB400i2
InterSecVM/LB V1.0
InterSecVM/LB V2.0 for VMware,InterSecVM/LB V2.0 for Hyper-V
InterSecVM/LB V2.1 for Hyper-V
InterSecVM/LB V3.0 for VMware,InterSecVM/LB V3.0 for Hyper-V
InterSecVM/LBc V1.0
以下のオプションソフトウェアをLBにて利用していても、
脆弱性の影響を受けることはありません。
・Express5800/LB NAT対応ライセンス
・Express5800/LB ノード固定化(Cookie)ライセンス
・Express5800/LB SSLアクセラレータライセンス
・InterSecVM/LB NAT対応ライセンス
・InterSecVM/LB ノード固定化(Cookie)ライセンス
・InterSecVM/LB SSLアクセラレータライセンス
・InterSec/LB NAT対応ライセンス
・InterSec/LB ノード固定化(Cookie)ライセンス
・InterSec/LB SSLアクセラレータライセンス