Ngày 17 tháng 2 năm 2016, một lỗ hổng đã được tìm thấy trong Library glibc hiện đang sử dụng rộng rãi như Linux… Đó là một lỗ hổng ở cấp độ nghiêm trọng.
Do vậy, nó có khả năng gây ra tràn bộ đệm và thực hiện tùy ý các đoạn mã từ xa. Lỗ hổng này được sinh ra do sử dụng một hàm số được gọi là “getaddrinfo()” hiện đang được sử dụng để phân giải tên tại nhiều hệ thống, nên nó sẽ gây ảnh hưởng cho nhiều ứng dụng.
Hiện tại, công ty chúng tôi đang điều tra phạm vi ảnh hưởng của vấn đề này. Ngay sau khi có thông tin mới nhất, chúng tôi sẽ thông báo cho các quý vị tại trang web này.
◆Các ảnh hưởng và hỗ trợ cho khách hàng của Z.com◆
Có một số OS được cung cấp bởi Z.com sẽ chịu ảnh hưởng của lỗ hổng này. Các OS chịu ảnh hưởng như bảng dưới đây. Đối với các khách hàng sử dụng những hình ảnh này, vui lòng thực hiện “Cập nhật glibc” và “Xác nhận phiên bản sau cập nhật”.
Bên cạnh đó, đối với các hình ảnh ứng dụng, do được xây dựng dựa trên CentOS và Ubuntu nên vui lòng thực hiện theo trình tự giống với OS. (Docker và Drone là Ubuntu, còn lại đều là CentOS)
※Đối với Fedora23, Fedora22, openSUSE42.1, Arch Linux, hiện tại chúng tôi chưa cung cấp bản cập nhật.
※Xin lưu ý tùy vào mirror site sử dụng mà cũng có trường hợp chưa được phản ánh glibc mới nhất.
—————————————————————————————————————————————————–
Thông tin tham khảo
CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow
Lỗ hổng trong Library “glibc”, ảnh hưởng nghiêm trong trên phần lớn các Linux – ITmedia Enterprise
CentOS https://lists.centos.org/pipermail/centos-announce/2016-February/021672.html https://lists.centos.org/pipermail/centos-announce/2016-February/021668.html
Ubuntu http://www.ubuntu.com/usn/usn-2900-1/
Debian https://security-tracker.debian.org/tracker/CVE-2015-7547
Fedora https://bugzilla.redhat.com/show_bug.cgi?id=1308943
Scientific https://www.scientificlinux.org/sl-errata/slsa-20160176-1/
openSUSE https://bugzilla.novell.com/show_bug.cgi?id=CVE-2015-7547
Arch Linux https://bugs.archlinux.org/task/48213
