CVE-2015-7547 (glibcの脆弱性) AWSでの対応まとめ
ども、大瀧です。
本日午前中にCVE-2015-7547に関する情報が公開されました。 AWS環境での対応方法をまとめておきます。
- AWSからのアナウンス : CVE-2015-7547 Advisory
AWSのマネージドサービスは影響無し
RDSやS3など、AWSのマネージドサービスは影響ありません。
EC2はAWS DNSを参照する場合は影響無し
今回の脆弱性はDNS関連とのことですが、Amazon VPCで提供されるDNSキャッシュサーバー(AWS DNS)を参照するEC2インスタンスも影響ありません。
AWS DNS以外のDNSサーバーを向いているEC2では、glibcパッケージをアップデートすることで対応が必要です。Amazon Linuxの場合は、以下のyumコマンドでアップデートしましょう。
sudo yum update glibc
ただし、Amazon Linuxのバージョンを固定していると最新のglibcパッケージが検索されないので、バージョン設定について確認しておきましょう。以下のエントリーを参考にしてください。
Amazon Linux以外のディストリビューションについては、以下のページを参照ください。
- Ubuntu : http://www.ubuntu.com/usn/usn-2900-1/
- RHEL : https://access.redhat.com/security/cve/CVE-2015-7547
- CentOS : https://www.centos.org/forums/viewtopic.php?f=17&t=56467
まとめ
今回のCVE-2015-7547は、AWS環境では「AWS DNS以外のDNSサーバーを向いているEC2」が対象で、glibcパッケージをアップデートすることで対応できます。
glibcパッケージのアップデートはOSおよび実行するサービスに影響する可能性が高いのでLinuxの再起動を実行するのが定石です。メンテナンスウィンドウを策定し、計画的なアップデートを行いましょう。
