GNU Cライブラリ
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2023/06/10 08:53 UTC 版)
脆弱性
2015年1月27日、セキュリティ関連企業Qualysの研究者が深刻なセキュリティホールを発見した[9]。該当するGNU Cライブラリのバージョンは2.2から2.17である。
このセキュリティホールは2013年5月21日にリリースされたVersion2.18の更新で修正されているが、多くのディストリビューションではこの修正が適用されないまま使用されていた(現在は多くのディストリビューションで修正されたパッケージが利用可能となっているため更新は容易である)。
この脆弱性では名前解決に使用する関数に細工したホスト名を渡し、バッファオーバーフローを発生させることで任意のコードの実行、DoS攻撃が可能となる可能性が発生する。
この脆弱性はGNU Cライブラリのgethostbyname関数、gethostbyname2関数を利用するソフトウェアで問題が発生する。2015年1月28日現在、メール転送エージェントのEximが遠隔から攻撃を受ける可能性があると確認されている[10]。
小型機器などでの利用
glibcはかつて、例えばリーナス・トーバルズ[11]や組み込みLinuxのプログラマらから、他のライブラリよりも重くて遅いと批判されたことがある。そのため、メモリ使用量の少ない標準Cライブラリがいくつか開発されてきた (Bionic, dietlibc, EGLIBC, Klibc, musl, Newlib, uClibc)。gccではターゲットがGNU/Linuxの場合、-mglibc, -muclibc, -mbionicで切り替えられる[12]。
しかし、標準への適合性、完全性、各種サポートが存在する点などを考慮してglibcを小型機器に採用する例も多い。例えば、OpenMokoやiPAQ向けのFamiliar Linux(GPE使用時)[13]がある。
関連項目
- ^ McGrath, Roland (2012年3月26日). “glibc steering committee dissolving”. Sourceware.org. 2012年6月13日閲覧。
- ^ Myers, Joseph S. (2012年3月26日). “GNU C Library development and maintainers”. Sourceware.org. 2012年6月13日閲覧。
- ^ “http://www.gnu.org/bulletins/bull4.html”. 2008年8月28日閲覧。 “Most libraries are done. Roland McGrath [...] has a nearly complete set of ANSI C library functions. We hope they will be ready some time this spring.”
- ^ “GNU's Bulletin, vol. 1 no. 12”. 2008年8月28日閲覧。 “It now contains all of the ANSI C-1989 and POSIX.1-1990 functions, and work is in progress on POSIX.2 and Unix functions (BSD and System V)”
- ^ Elliot Lee (2001年). “A Technical Comparison of glibc 2.x With Legacy System Libraries”. 2008年8月28日閲覧。
- ^ “Forking: it could even happen to you”. 2008年8月28日閲覧。 “the split between GNU LIBC and the Linux LIBC -- it went on for years while Linux stabilized, and then the forks re-merged into one project”
- ^ “Fear of Forking essay, see "6. glibc --> Linux libc --> glibc"”. 2008年8月28日閲覧。
- ^ “Fear of Forking, footnote on Stallman's merge comments”. 2008年8月28日閲覧。
- ^ Qualys Security Advisory CVE-2015-0235[1]
- ^ Linuxに存在する脆弱性「GHOST」、システム管理者は落ち着いて対処を[2]
- ^ Linus Torvalds: Posting to the glibc mailing list, 9 January 2002 19:02:37
- ^ GNU/Linux Options - Using the GNU Compiler Collection (GCC)
- ^ “Re: [Familiar Which glibc for Familiar 0.8.4 ?]”. 2008年8月28日閲覧。 “Question: which version of the GLIBC was used to build the Familiar 0.8.4 ? Answer: 2.3.3”
固有名詞の分類
- GNU Cライブラリのページへのリンク