~修正版へのアップグレードを推奨
CERT、DHCPDライブラリのバッファオーバーフローセキュリティホールを警告
■URL
http://www.cert.org/advisories/CA-2003-01.html
http://www.isc.org/products/DHCP/dhcp-v3.html
http://www.isc.org/products/DHCP/dhcp-prerelease.html
 |
|
脆弱性を警告するCERTのWebサイト |
カーネギー・メロン大学のComputer Emergency Response Teams Coordination Center(CERT/CC)は15日、Internet Softwaer Consortium(ISC)が提供するDynamic Host Configuration Protocol Daemon(DHCPD)の一部バージョンに、攻撃者に任意のコードを実行される恐れのあるセキュリティホールが存在すると警告した。対策として、修正版へのアップグレードが推奨されている。
この問題は、ISC開発者が内部ソースコード監査中に発見したバッファオーバーフロー脆弱性により、攻撃者に任意のコードを実行される恐れがあるというもの。この脆弱性は、DHCPメッセージに巨大なHostname valueを含ませることによって発生する可能性があるという。対象となるバージョンは、DHCPD 3.0から3.0.1RC10となる。
対策としてCERTや提供元のISCでは、この問題を修正したバージョン3.0pl2と3.0.1RC11へのアップグレードを推奨している。何らかの理由で修正バージョンへのアップグレードができない場合には、一時的回避処置として「DHCPサーバーへの外部アクセスを制限する」や「DHCPサービスを停止する」などを挙げている。なお、CERTではこの問題による危険性を下げるためにも、不必要なDHCPサービスが稼動している場合には、停止することも併せて推奨した。
(2003/1/16)
[Reported by otsu-j@impress.co.jp]