glibcの脆弱性対策（取り急ぎiptables/firewalldで叩き落とす！）for CVE-2015-7547 - Qiita

glibcの脆弱性対策（取り急ぎiptables/firewalldで叩き落とす！）for CVE-2015-7547LinuxSecurityiptablesfirewalldglibc はじめに glibcでヤバメな脆弱性キター！ 「glibc」ライブラリに脆弱性、Linuxの大部分に深刻な影響 - ITmedia エンタープライズ Google Online Security Blog: CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow CVE-2015-7547: Critical Vulnerability in glibc getaddrinfo - SANS Internet Storm Center Carlos O'Donell - [PATCH] CVE-2015-7547 --- glibc ge

[y-kawaz]

glibcの脆弱性対応、再起動とかすぐ出来ない人用にとりあえずiptablesで防御する時間稼ぎ用コピペ書いた！

[oooooo4150]

“オンプレサーバ再起動祭り2016を実施して数100台の物理サーバ再起動を敢行し終わったとこだ”←ウチも似たような感じだ。ようやっとGHOST対応が終わったと思ったのに。作業自体は屁でもないけどテストと調整が…

[toaruR]

デフラグメンテーションはiptablesの前だったはずなのでいけそう。

[akulog]

よく考えたらRDSどうしたらいいんだろ

[tsekine]

不正確。そのまま鵜呑みにしちゃダメ。

[l83DK]

まあでもあげるしかない

[vaqura1989]

関連の方々頑張ってください

[tmatsuu]

追記最後の「state有効だとip_conntrackが読み込まれてフラグメント化されたパケットをPREROUTING辺りでデフラグメントしてからINPUTチェーンに来るんだった気がする」が気になる。ほう

[sugimori]

これでいけるの？

[ya--mada]

ぬー、やっぱこれ無駄だよね？

[kamip]

んーんー

[sionsou]

aws側は既にパッチきてたので、余裕で各所に連絡いれて再起動した。大規模サービスだとこういうとき辛そうね。

[miguchi]

CVE-2015-7547

[GARAPON]

取り急ぎでしのいで今週来週あたりが再起動まつりかな

[KoshianX]

時間稼ぎにパケットサイズでフィルタリングか。2kB 以上になる DNS のパケットってどこまで想定できるんかなあ……

[yamadarts]

とりあえず参考という事で

[ainame]

うちも全台OS入れ替えしたばかりだけど、より大変そう・・・。 > “昨日深夜から早朝にかけて年に1度の大規模定期メンテナンス弊社オンプレサーバ再起動祭り2016を実施して数100台の物理サーバ再起動を敢行し終わったと

[operator]

長いDNSメッセージは、複数のIPパケットで送るだけなので、iptablesで落とすって無理じゃないの？？ ／ アプリ層のデータを複数のIPパケットで送るのはIPフラグメントとは全然別の処理だよ！

[IGA-OS]

時間稼ぎ用の対策。効果あるのかは知らん。本道のモジュール更新しましょう。

[hiyoushinonome]

脆弱性自体は2048bytes超のデータで発動するようだけど、これは意味があるのだろうか…MTUとか考えると、意味ない気がしている。

[ot2sy39]

"DNSレスポンスパケットはUDP/TCP共に2048バイト以上のサイズなら捨てる" なるほど。

[kksg]

EC2の場合AWSのDNSを通常使ってるはずなので何もしなくてよかった。助かった。