CVE-2015-7547 (glibcの脆弱性) AWSでの対応まとめ
ども、大瀧です。
本日午前中にCVE-2015-7547に関する情報が公開されました。 AWS環境での対応方法をまとめておきます。
- AWSからのアナウンス : CVE-2015-7547 Advisory
AWSのマネージドサービスは影響無し
RDSやS3など、AWSのマネージドサービスは影響ありません。
EC2はAWS DNSを参照する場合は影響無し
今回の脆弱性はDNS関連とのことですが、Amazon VPCで提供されるDNSキャッシュサーバー(AWS DNS)を参照するEC2インスタンスも影響ありません。
AWS DNS以外のDNSサーバーを向いているEC2では、glibcパッケージをアップデートすることで対応が必要です。Amazon Linuxの場合は、以下のyumコマンドでアップデートしましょう。
sudo yum update glibc
ただし、Amazon Linuxのバージョンを固定していると最新のglibcパッケージが検索されないので、バージョン設定について確認しておきましょう。以下のエントリーを参考にしてください。
Amazon Linux以外のディストリビューションについては、以下のページを参照ください。
- Ubuntu : http://www.ubuntu.com/usn/usn-2900-1/
- RHEL : https://access.redhat.com/security/cve/CVE-2015-7547
- CentOS : https://www.centos.org/forums/viewtopic.php?f=17&t=56467
まとめ
今回のCVE-2015-7547は、AWS環境では「AWS DNS以外のDNSサーバーを向いているEC2」が対象で、glibcパッケージをアップデートすることで対応できます。
glibcパッケージのアップデートはOSおよび実行するサービスに影響する可能性が高いのでLinuxの再起動を実行するのが定石です。メンテナンスウィンドウを策定し、計画的なアップデートを行いましょう。
![[アップデート] AWS Step Functions で変数が使えるようになりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-5f8ac6d1392d52f09eefb00a5ad1b303/fceee02f9b8607d60014a828933bc45b/aws-step-functions)
![[アップデート] CloudFrontディストリビューションのIPアドレスを固定化できるようになりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-f66629e23bafcf47fa6477fd0349a4f7/3e371b05917375d87daf613d54a600d8/amazon-cloudfront)
![[アップデート] Amazon Redshift Query Editor V2、結果セットと出力サイズの上限を100MBに拡大したので検証しました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-63f1274931b942e9a92e601c1127ad73/cfe87ec6d62fa2fc3c474ed4cb2f6c2e/amazon-redshift)
