GNU C库「glibc」getaddrinfo 发现重大漏洞

    本文翻译至：http://www.itmedia.co.jp/enterprise/articles/1602/17/news065.html

　大部分Linux应用程序使用的GNU C库「glibc」发现重大漏洞，美国Google和Red Hat的研究人员于2月16日公开开发的补丁。

　该漏洞存在于2008年5月发布的glibc 2.9之后的版本。据Google称，使用glibc库的「getaddrinfo()」功能时，已经明确会引起基于栈的缓存溢出漏洞。使用该功能的软件存在被攻击者控制的域名或DNS服务器，或通过中间者攻击恶意使用漏洞的可能性。
　Google的研究人员先与发现该问题的Red Hat研究人员共同展开调査，成功开发出突破漏洞的代码。在公开补丁的同时，也公开了攻击者无法利用的概念验证代码。使用这些代码可以确认自己的系统是否存在漏洞，也可以验证临时解决方案。
　美国的安全机构SANS Internet Storm Center针对该漏洞指出，getaddrinfo功能被大部分的UNIX系统用于解决IP地址，影响波及到从Android到家庭路由等广泛领域。通过在网页里嵌入图片的方法或发送邮件后使用垃圾邮件过滤器处理的方法等多种方法都有可能引发DNS look-up。
　据Google称，漏洞是由超过2048字节大小的UDP或TCP响应引起的。因此，在无法马上使用补丁的情况下，对策之一是使用如DNSMasq程序来限制DNS解析器接收的响应の大小等方法。