公開日:2022/06/15 最終更新日:2022/06/15

JVN#20930118
FreeBSD におけるサービス運用妨害 (DoS) の脆弱性

概要

FreeBSD には、サービス運用妨害 (DoS) の脆弱性が存在します。

影響を受けるシステム

  • FreeBSD 7.0 より前のバージョン

詳細情報

FreeBSD には、TCP接続においてTSoptの不適切な扱いに起因するサービス運用妨害 (DoS) (CWE-400) の脆弱性が存在します。

想定される影響

遠隔の第三者によって、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
なお、本脆弱性は以下のFreeBSDコミットで2006年9月25日に修正されています。

  • commit 4dc630cdd2f7a790604d2724ecb19c6aa95130a7
  • Author: John-Mark Gurney <jmg@FreeBSD.org>
  • Date:   Mon Sep 25 07:22:39 2006 +0000

参考情報

JPCERT/CCからの補足情報

本脆弱性対策情報の JVN 公表は、製品開発者が対応した時点から遅れ 2022/6/15 となりました。
本脆弱性は、2006年に IPA へ届出があり、JPCERT/CC が開発者との調整を開始しましたが、その後長期に亘って調整が滞っておりました。
2022年4月に開発者から2006年9月25日に修正済みとの連絡があり、JVN公表に向けて調整を再開し、本公表に至りました。

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
基本値: 5.3
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:N/AC:L/Au:N/C:N/I:N/A:P
基本値: 5.0
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2022-32264
JVN iPedia JVNDB-2022-000045