NVD脆弱性詳細
Exploit、PoC検索
CVE-2015-7547
概要

Multiple stack-based buffer overflows in the (1) send_dg and (2) send_vc functions in the libresolv library in the GNU C Library (aka glibc or libc6) before 2.23 allow remote attackers to cause a denial of service (crash) or possibly execute arbitrary code via a crafted DNS response that triggers a call to the getaddrinfo function with the AF_UNSPEC or AF_INET6 address family, related to performing "dual A/AAAA DNS queries" and the libnss_dns.so.2 NSS module.

公表日 2016年2月19日6:59
登録日 2021年1月26日14:56
最終更新日 2024年11月21日11:36
CVSS3.0 : HIGH
スコア 8.1
ベクター CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃に必要な特権レベル(PR) 不要
利用者の関与(UI) 不要
影響の想定範囲(S) 変更なし
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)
CVSS2.0 : MEDIUM
スコア 6.8
ベクター AV:N/AC:M/Au:N/C:P/I:P/A:P
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 不要
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)
全ての特権を取得 いいえ
ユーザー権限を取得 いいえ
その他の権限を取得 いいえ
ユーザー操作が必要 いいえ
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
構成2 以上 以下 より上 未満
cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:15.10:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:lts:*:*:*
構成3 以上 以下 より上 未満
cpe:2.3:a:hp:server_migration_pack:7.5:*:*:*:*:*:*:*
cpe:2.3:a:hp:helion_openstack:1.1.1:*:*:*:*:*:*:*
cpe:2.3:a:hp:helion_openstack:2.1.0:*:*:*:*:*:*:*
cpe:2.3:a:hp:helion_openstack:2.0.0:*:*:*:*:*:*:*
構成4 以上 以下 より上 未満
cpe:2.3:a:sophos:unified_threat_management_software:9.319:*:*:*:*:*:*:*
cpe:2.3:a:sophos:unified_threat_management_software:9.355:*:*:*:*:*:*:*
構成5 以上 以下 より上 未満
cpe:2.3:o:suse:linux_enterprise_server:11.0:sp4:*:*:*:*:*:*
cpe:2.3:a:suse:linux_enterprise_debuginfo:11.0:sp2:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_software_development_kit:11.0:sp4:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_server:11.0:sp3:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_software_development_kit:12:sp1:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_desktop:11.0:sp3:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_software_development_kit:12:*:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_server:11.0:sp2:*:*:lts:*:*:*
cpe:2.3:o:suse:linux_enterprise_server:12:sp1:*:*:*:*:*:*
cpe:2.3:a:suse:linux_enterprise_debuginfo:11.0:sp4:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_server:11.0:sp3:*:*:*:vmware:*:*
cpe:2.3:o:suse:linux_enterprise_desktop:11.0:sp4:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_software_development_kit:11.0:sp3:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_desktop:12:*:*:*:*:*:*:*
cpe:2.3:a:suse:linux_enterprise_debuginfo:11.0:sp3:*:*:*:*:*:*
cpe:2.3:o:suse:linux_enterprise_desktop:12:sp1:*:*:*:*:*:*
cpe:2.3:o:opensuse:opensuse:13.2:*:*:*:*:*:*:*
cpe:2.3:o:suse:suse_linux_enterprise_server:12:*:*:*:*:*:*:*
構成6 以上 以下 より上 未満
cpe:2.3:a:oracle:exalogic_infrastructure:1.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:exalogic_infrastructure:2.0:*:*:*:*:*:*:*
構成7 以上 以下 より上 未満
cpe:2.3:a:f5:big-ip_local_traffic_manager:12.0.0:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_policy_enforcement_manager:12.0.0:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_application_acceleration_manager:12.0.0:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_access_policy_manager:12.0.0:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_analytics:12.0.0:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_advanced_firewall_manager:12.0.0:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_domain_name_system:12.0.0:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_application_security_manager:12.0.0:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_link_controller:12.0.0:*:*:*:*:*:*:*
構成8 以上 以下 より上 未満
cpe:2.3:o:oracle:fujitsu_m10_firmware:*:*:*:*:*:*:*:* 2290
構成9 以上 以下 より上 未満
cpe:2.3:o:redhat:enterprise_linux_desktop:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_aus:7.2:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_hpc_node:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_eus:7.2:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_hpc_node_eus:7.2:*:*:*:*:*:*:*
構成10 以上 以下 より上 未満
cpe:2.3:a:gnu:glibc:2.9:*:*:*:*:*:*:*
cpe:2.3:a:gnu:glibc:2.11:*:*:*:*:*:*:*
cpe:2.3:a:gnu:glibc:2.10.1:*:*:*:*:*:*:*
cpe:2.3:a:gnu:glibc:2.17:*:*:*:*:*:*:*
cpe:2.3:a:gnu:glibc:2.14:*:*:*:*:*:*:*
cpe:2.3:a:gnu:glibc:2.22:*:*:*:*:*:*:*
cpe:2.3:a:gnu:glibc:2.20:*:*:*:*:*:*:*
cpe:2.3:a:gnu:glibc:2.13:*:*:*:*:*:*:*
cpe:2.3:a:gnu:glibc:2.12.1:*:*:*:*:*:*:*
cpe:2.3:a:gnu:glibc:2.19:*:*:*:*:*:*:*
cpe:2.3:a:gnu:glibc:2.10:*:*:*:*:*:*:*
cpe:2.3:a:gnu:glibc:2.14.1:*:*:*:*:*:*:*
cpe:2.3:a:gnu:glibc:2.11.2:*:*:*:*:*:*:*
cpe:2.3:a:gnu:glibc:2.16:*:*:*:*:*:*:*
cpe:2.3:a:gnu:glibc:2.18:*:*:*:*:*:*:*
cpe:2.3:a:gnu:glibc:2.11.3:*:*:*:*:*:*:*
cpe:2.3:a:gnu:glibc:2.11.1:*:*:*:*:*:*:*
cpe:2.3:a:gnu:glibc:2.21:*:*:*:*:*:*:*
cpe:2.3:a:gnu:glibc:2.15:*:*:*:*:*:*:*
cpe:2.3:a:gnu:glibc:2.12:*:*:*:*:*:*:*
cpe:2.3:a:gnu:glibc:2.12.2:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧
JVN脆弱性情報
glibc にバッファオーバーフローの脆弱性
タイトル glibc にバッファオーバーフローの脆弱性
概要

glibc には、バッファオーバーフローの脆弱性が存在します。 glibc には、send_dg() および send_vc() の処理に起因するスタックベースのバッファオーバーフローの脆弱性が存在します。

想定される影響 遠隔の攻撃者によって、任意のコードを実行されたり、サービス運用妨害 (DoS) 攻撃を受けたりする可能性があります。
対策

[アップデートする] 各開発者が提供する情報をもとに、アップデートを適用してください。
公表日 2016年2月17日0:00
登録日 2016年2月18日11:09
最終更新日 2017年7月25日13:45
影響を受けるシステム
オラクル
Oracle Exalogic Infrastructure 1.0
Oracle Exalogic Infrastructure 2.0
XCP 2290 未満 (Fujitsu M10-1/M10-4/M10-4S サーバ)
GNU Project
GNU C Library (glibc) 2.9 から 2.22 まで
日本電気
CLUSTERPRO 
EnterpriseDirectoryServer Linux版 Ver6.1
EnterpriseDirectoryServer Linux版 Ver7.0
EnterpriseDirectoryServer Linux版 Ver7.1
EnterpriseDirectoryServer Linux版 Ver8.0 (Red Hat Enterprise Linux 6 および 7)
EnterpriseIdentityManager Linux版 Ver4.1
EnterpriseIdentityManager Linux版 Ver5.0
EnterpriseIdentityManager Linux版 Ver5.1
EnterpriseIdentityManager Linux版 Ver8.0 (Red Hat Enterprise Linux 6 および 7)
Express5800 /SG シリーズ InterSecVM/SG v1.2、v3.0、v3.1、v4.0
Express5800 /SG シリーズ SG3600LM/LG/LJ v6.1、v6.2、v7.0、v7.1、v8.0、v8.2
Express5800 /SG シリーズ UNIVERGE SG3000LG/LJ
iStorage HSシリーズ v5.0.0 から v5.0.3
iStorage M/D/S/A/Eシリーズ 全バージョン
MailShooter 全バージョン
SimpWright -V6
SimpWright -V7
WebOTX Application Server Enterprise V8.5〜V9.4
WebOTX Application Server Express V8.5〜V9.4
WebOTX Application Server Foundation V8.5
WebOTX Application Server Standard V8.5〜V9.4
WebOTX Developer (for CORBA Application) V8.5〜V9.4
WebOTX Enterprise Service Bus V8.5〜V9.3
WebOTX Portal V9.1〜V9.3
WebSAM JobCenter R14.1系の全バージョン
WebSAM JobCenter R14.2系の全バージョン
WebSAM AssetSuite 全バージョン
VMware
VMware ESXi 5.5
VMware ESXi 6.0
VMware Virtual Appliances すべてのバージョン
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
0 [2016年02月18日]
  掲載
[2016年02月19日]
  ベンダ情報:ミラクル・リナックス (glibc の脆弱性(CVE-2015-7547)の影響と対処) を追加
  ベンダ情報:トリップワイヤ (glibc getaddrinfo Buffer Overflow (CVE-2015-7547)) を追加
  ベンダ情報:F5 Networks (SOL47098834: glibc vulnerability CVE-2015-7547) を追加
  ベンダ情報:Novell (Bug 961721) を追加
  ベンダ情報:CentOS Project (CESA-2016:0176 Critical CentOS 7 glibc Security Update) を追加
  ベンダ情報:CentOS Project (CESA-2016:0175 Critical CentOS 6 glibc Security Update) を追加
  参考情報:JPCERT 注意喚起 (JPCERT-AT-2016-0009) を追加
  参考情報:JPRS ((緊急)GNU C Library(glibc)の脆弱性について(CVE-2015-7547)) を追加
  参考情報:US-CERT Vulnerability Note (VU#457759) を追加
[2016年02月22日]
  CVSS による深刻度:内容を更新
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:シスコシステムズ (cisco-sa-20160218-glibc) を追加
  CWE による脆弱性タイプ一覧:CWE-ID を追加
  参考情報:National Vulnerability Database (NVD) (CVE-2015-7547) を追加
[2016年02月23日]
  ベンダ情報:レッドハット (Bug 1293532) を追加
  ベンダ情報:レッドハット (Critical security flaw: glibc stack-based buffer overflow in getaddrinfo() (CVE-2015-7547)) を追加
  ベンダ情報:レッドハット (重大なセキュリティー欠陥: getaddrinfo() での glibc スタックベースのバッファーオーバーフロー (CVE-2015-7547)) を追加
[2016年02月25日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:VMware (VMSA-2016-0002) を追加
[2016年03月01日]
  ベンダ情報:ターボリナックス (TLSA-2016-7) を追加
[2016年03月04日]
  ベンダ情報:トレンドマイクロ (glibcの脆弱性「CVE-2015-7547」に対する弊社製品での対応について) を追加
[2016年03月15日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日本電気 (NV16-003) を追加
[2016年03月18日]
  ベンダ情報:アライドテレシス (アライドテレシス株式会社からの情報) を追加
[2016年03月25日]
  ベンダ情報:株式会社アイ・オー・データ機器 (glibc バッファオーバーフローの脆弱性について) を追加
[2016年03月29]
  ベンダ情報:ヤマハ (「glibc にバッファオーバーフローの脆弱性」について) を追加
[2016年05月31日]
  CVSS による深刻度:内容を更新
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update CVSS V2 Risk Matrices - April 2016) を追加
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - April 2016) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - April 2016 Risk Matrices) を追加
  ベンダ情報:オラクル (April 2016 Critical Patch Update Released) を追加
  参考情報:ICS-CERT ADVISORY (ICSA-16-103-01) を追加
[2016年06月23日]
  影響を受けるシステム:ベンダ情報の更新に伴い内容を更新
[2016年08月26日]
  影響を受けるシステム:ベンダ情報の更新に伴い内容を更新
[2016年10月26日]
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBNS03571) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBMU03612) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBGN03553) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBGN03442) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBGN03547) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBGN03549) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBGN03551) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBGN03582) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBGN03597) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBST03598) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBMU03591) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBHF03578) を追加
  ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBST03603) を追加
[2016年10月28日]
  影響を受けるシステム:ベンダ情報の更新に伴い内容を更新
[2017年02月20日]
  影響を受けるシステム:ベンダ情報の更新に伴い内容を更新
[2017年03月09日]
  影響を受けるシステム:ベンダ情報の更新に伴い内容を更新
[2017年07月25日]
  影響を受けるシステム:ベンダ情報 (NV16-003) の更新に伴い内容を更新		 2018年2月17日10:37