公開日:2004/06/23 最終更新日:2004/06/23

JVNTA04-174A
ISC DHCP 3 に複数の脆弱性

概要


Internet Software Consortium (ISC) が提供している Dynamic Host Configuration Protocol Daemon (DHCPD) バージョン 3 には、バッファオーバーフローに関わる 2 つの脆弱性が存在します。

影響を受けるシステム

  • ISC DHCP versions 3.0.1rc12
  • ISC DHCP versions 3.0.1rc13

詳細情報

想定される影響

サービス運用妨害 (denial-of-service, DoS) 攻撃を受けたり、遠隔から第三者が dhcpd プロセスの権限 (通常、管理者権限) で任意のコードを実行する可能性があります。結果として、脆弱なシステム上の管理者権限を取得する可能性があります。

対策方法

ベンダ情報

ベンダ リンク
富士通 TA04-174Aに対する富士通の情報
富士通 TA04-174Aに対するSolaris OEの情報
Internet Software Consortium ISC Dynamic Host Configuration Protocol (DHCP)

参考情報

  1. US-CERT Vulnerability Note VU#317350
    ISC DHCP contains a stack buffer overflow vulnerability in handling log lines containing ASCII characters only
  2. US-CERT Vulnerability Note VU#654390
    ISC DHCP contains C Includes that define vsnprintf() to vsprintf() creating potential buffer overflow conditions
  3. ISS X-Force Database: dhcp-ascii-log-bo(16475)
    ISC DHCP daemon ASCII characters in log lines buffer overflow
  4. ISS X-Force Database: dhcp-c-include-bo(16476)
    ISC DHCP daemon C include file buffer overflow

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT JPCERT-WR-2004-2501
JPCERT/CC REPORT 2004-06-30
CERT Advisory Technical Cyber Security Alert TA04-174A
Multiple Vulnerabilities in ISC DHCP 3
CPNI Advisory
TRnotes
CVE CAN-2004-0460
VU#317350,XF16475
JVN iPedia