CVE-47于2015年2月16日上午发布。我们想向HashiCorp用户介绍这对任何HashiCorp工具的影响。这个CVE的意义很快就被理解了，因为流行Linux发行版中的大多数glibc版本都容易受到远程代码执行攻击。这个问题源于glibc的getaddrinfo（3）调用错误处理大型DNS响应的方式，从而导致基于堆栈的缓冲区溢出。此语句详细说明了受此CVE影响的HashiCorp工具，以及管理员可以采取的各种缓解措施来防止此漏洞。最近对我们的构建工具链的更新阻止了我们的大多数工具受到此漏洞的影响。»工具状态CVE-2015-7547对HashiCorp工具的影响仅限于那些使用cgo编译的工具或链接到易受攻击的glibc的工具。在本出版物发布时，HashiCorp提供的受影响和未受影响的二进制文件列表包括：工具脆弱的不受影响笔记执政官=0.6.0 游牧民族所有版本不适用需要修补glibc奥托不适用所有版本 封隔器=0.7.2 农奴不适用所有版本 地形=0.6.7 流浪汉所有版本不适用嵌入的Ruby需要补丁glibc拱顶=0.3.1 这不是HashiCorp工具中的漏洞；而是HashiCorp工具的特定版本在运行时使用的库（glibc）中的漏洞。下面详细介绍了受影响版本的正确修复，包括升级glibc和重新启动进程。如果基本操作系统运行的是glibc的易受攻击版本，并且根据上表，特定的HashiCorp工具没有受到影响，那么HashiCorp工具仍然不受影响，因为它们的DNS解析是在不使用glibc的getaddrinfo（3）的情况下执行的。类似地，macos-X或Windows上的Vagrant也不易受攻击，因为它的getaddrinfo（3）实现不是从glibc派生的。»影响攻击者可以导致发送的DNS响应超过2048字节（对于基于UDP的查询）或超过1024字节（对于基于TCP的查询），并且能够制造恶意负载，则攻击者将能够利用基于堆栈的缓冲区溢出危害易受攻击的进程。这是一个高风险漏洞，因为这表示任何受影响主机的远程代码执行（RCE）漏洞，即使该主机没有直接暴露在Internet上。Debian和Red Hat都将此标记为"关键"安全问题（Red Hat的最高分类），Ubuntu在同一天发布了更新。其他许多Linux发行版也紧随其后推出了加速发行版。Linux以外的操作系统不易受此RCE攻击（例如，Alpine Linux、Windows、Mac OS-X、FreeBSD）。»变通办法谷歌在其安全博客上的披露声明中详细介绍了一些解决办法。»解决方案执行以下操作之一：1） 使用Red Hat的Carlos O'Donell提供的以下补丁重新编译您的操作系统的glibc：https://sourceware.org/ml/libc-alpha/2016-02/msg00416.html2） 使用发行版的包管理框架将glibc升级到补丁版本。对于在容器引擎中运行的应用程序（如Docker），必须使用升级的glibc重新构建容器。升级主机的glibc不会影响容器中的glibc。升级glibc之后，必须重新启动任何存在时间比磁盘上glibc二进制文件更早的进程（在许多情况下，这意味着重新启动）。»工具书类https://cve.mitre.org/cgi-bin/cvename.cgi？名称=CVE-2015-7547https://lists.debian.org/debian-security-announce/2016/msg00050.htmlhttps://access.redhat.com/security/cve/cve-2015-7547://aws.amazon.com/security/security-bulletins/cve-2015-7547-advisory/https://www.suse.com/security/cve/cve-2015-7547.htmlhttps://googleonlinesecurity.blogspot.com/2016/02/cve-2015-7547-glibc-getaddrinfo-stack.htmlhttps://sourceware.org/ml/libc-alpha/2016-02/msg00416.html»最后的想法在HashiCorp，安全是我们精神的主要部分，我们有时会受到我们无法控制的因素的影响（CVE-2015-7547就是一个很好的例子）。虽然CVE抢占了本周InfoSec新闻周期的大部分，但在内部，我们一直在改变我们对工具和客户的报告和披露处理方式。我们将很快宣布这一新进程。