製品・ソフトウェアに関する情報

JVN脆弱性詳細

GNU C Library の Name Service Switch の nss_files/files-XXX.c におけるサービス運用妨害 (DoS) の脆弱性

タイトル	GNU C Library の Name Service Switch の nss_files/files-XXX.c におけるサービス運用妨害 (DoS) の脆弱性
概要	GNU C Library (別名 glibc または libc6) の Name Service Switch (NSS) の nss_files/files-XXX.c 内の get_contents 関数には、サービス運用妨害 (ヒープ破損) 状態にされる、または権限を取得される脆弱性が存在します。
想定される影響	ローカルユーザにより、NSS ファイルデータベースの過度に長い行を介して、サービス運用妨害 (ヒープ破損) 状態にされる、または権限を取得される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2015年9月14日0:00
登録日	2015年12月21日13:39
最終更新日	2015年12月21日13:39

影響を受けるシステム

レッドハット

Red Hat Enterprise Linux Desktop (v. 7)

Red Hat Enterprise Linux HPC Node (v. 7)

Red Hat Enterprise Linux Server (v. 7)

Red Hat Enterprise Linux Workstation (v. 7)

GNU Project

GNU C Library 2.20 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-5277	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5277
National Vulnerability Database (NVD)
2	CVE-2015-5277	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5277

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-119	https://jvndb.jvn.jp/ja/cwe/CWE-119.html

ベンダー情報

No	名前	URL
Red Hat Bugzilla
1	Bug 1262914	https://bugzilla.redhat.com/show_bug.cgi?id=1262914
Red Hat Security Advisory
2	RHSA-2015:2172	https://rhn.redhat.com/errata/RHSA-2015-2172.html
Sourceware Bugzilla
3	Bug 17079	https://sourceware.org/bugzilla/show_bug.cgi?id=17079
sourceware.org
4	The GNU C Library version 2.20 is now available	https://sourceware.org/ml/libc-alpha/2014-09/msg00088.html

変更履歴

No	変更内容	変更日
0	[2015年12月21日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2015-5277

概要	The get_contents function in nss_files/files-XXX.c in the Name Service Switch (NSS) in GNU C Library (aka glibc or libc6) before 2.20 might allow local users to cause a denial of service (heap corruption) or gain privileges via a long line in the NSS files database.
公表日	2015年12月18日4:59
登録日	2021年1月26日14:52
最終更新日	2024年11月21日11:32

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:o:redhat:enterprise_linux_desktop:7.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_workstation:7.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_server:7.0:::::::*
cpe:2.3:o:redhat:enterprise_linux_hpc_node:7.0:::::::*

構成2		以上	以下	より上	未満
cpe:2.3:a:gnu:glibc::::::::			2.19

構成3	以上	以下	より上	未満
cpe:2.3:o:canonical:ubuntu_linux:12.04::::lts:::
cpe:2.3:o:canonical:ubuntu_linux:15.10:::::::*
cpe:2.3:o:canonical:ubuntu_linux:14.04::::lts:::

関連情報、対策とツール

No	URL	refsource	タグ
1	http://packetstormsecurity.com/files/154361/Cisco-Device-Hardcoded-Credentials-GNU-glibc-BusyBox.html
2	http://packetstormsecurity.com/files/154361/Cisco-Device-Hardcoded-Credentials-GNU-glibc-BusyBox.html
3	http://rhn.redhat.com/errata/RHSA-2015-2172.html
4	http://rhn.redhat.com/errata/RHSA-2015-2172.html
5	http://seclists.org/fulldisclosure/2019/Sep/7
6	http://seclists.org/fulldisclosure/2019/Sep/7
7	http://www.oracle.com/technetwork/topics/security/linuxbulletinoct2015-2719645.html
8	http://www.oracle.com/technetwork/topics/security/linuxbulletinoct2015-2719645.html
9	http://www.securityfocus.com/bid/78092
10	http://www.securityfocus.com/bid/78092
11	http://www.securitytracker.com/id/1034196
12	http://www.securitytracker.com/id/1034196
13	http://www.ubuntu.com/usn/USN-2985-1
14	http://www.ubuntu.com/usn/USN-2985-1
15	http://www.ubuntu.com/usn/USN-2985-2
16	http://www.ubuntu.com/usn/USN-2985-2
17	https://bugzilla.redhat.com/show_bug.cgi?id=1262914
18	https://bugzilla.redhat.com/show_bug.cgi?id=1262914
19	https://seclists.org/bugtraq/2019/Sep/7
20	https://seclists.org/bugtraq/2019/Sep/7
21	https://security.gentoo.org/glsa/201702-11
22	https://security.gentoo.org/glsa/201702-11
23	https://sourceware.org/bugzilla/show_bug.cgi?id=17079
24	https://sourceware.org/bugzilla/show_bug.cgi?id=17079
25	https://sourceware.org/ml/libc-alpha/2014-09/msg00088.html
26	https://sourceware.org/ml/libc-alpha/2014-09/msg00088.html

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-119	バッファエラー	https://cwe.mitre.org/data/definitions/118.html