公開日:2024/03/21 最終更新日:2025/06/26

JVNVU#93188600
UDPベースのアプリケーション層プロトコル実装におけるサービス運用妨害 (DoS) の脆弱性

概要

UDPを利用するアプリケーション層のプロトコル実装において、サービス運用妨害 (DoS) の脆弱性が報告されています。

影響を受けるシステム

  • UDPベースのアプリケーション層プロトコル実装
報告者は、DNS、NTP、TFTP、Daytime、Time、Active Users、Echo、Chargen、QOTDのプロトコル実装において本脆弱性を確認しています。

詳細情報

UDPを利用するアプリケーション層のプロトコル実装において、サービス運用妨害 (DoS) の脆弱性が報告されています。
本脆弱性の影響を受けるプロトコル実装では、通常、不正な通信に対してエラーメッセージを返しますが、IPが偽装されていた場合、偽装されたIPに対してエラーメッセージを返します。偽装されたサーバーも同脆弱性の影響を受ける場合、同じ動作によりエラーメッセージを返すため、相互にエラーメッセージを送信し続け、リソースを消費します。

想定される影響

本脆弱性が悪用された場合、当該プロトコル実装を利用したシステムおよび関連するネットワーク上のシステムが、サービス運用妨害(DoS)状態となる可能性があります。

対策方法

ご利用の環境に応じて、各開発者が提供する情報をご確認ください。

アップデートする
開発者が提供する情報をもとに、アップデートを適用してください。

ワークアラウンドを実施する
CERT/CCは、VU#417980にて、ワークアラウンドの実施も推奨しています。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
コニカミノルタ株式会社 該当製品あり 2025/06/24 コニカミノルタ株式会社 の告知ページ
ブラザー工業株式会社 該当製品あり 2025/06/25 ブラザー工業株式会社 の告知ページ
富士フイルムビジネスイノベーション株式会社 該当製品あり 2025/06/25 富士フイルムビジネスイノベーション株式会社 の告知ページ
東芝テック株式会社 該当製品あり 2025/06/24 東芝テック株式会社 の告知ページ
株式会社リコー 該当製品あり 2025/06/23 株式会社リコー の告知ページ

参考情報

  1. Vulnerability Note VU#417980
    Implementations of UDP-based application protocols are vulnerable to network loops
  2. CISPA: Helmholtz Center for Information Security
    Loop DoS: New Denial-of-Service Attack targets Application-Layer Protocols

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2025/06/26
株式会社リコー、コニカミノルタ株式会社、東芝テック株式会社、ブラザー工業株式会社、富士フイルムビジネスイノベーション株式会社のベンダステータスが更新されました