公開日:2018/01/17 最終更新日:2018/03/07

JVNVU#94629912
ISC DHCP にサービス運用妨害 (DoS) の脆弱性

概要

ISC DHCP には、実装上の不備に起因する、リモートからのサービス運用妨害(DoS)が可能となる脆弱性があります。

影響を受けるシステム

  • DHCP 4.1.0 から 4.1-ESV-R15 まで
  • DHCP 4.2.0 から 4.2.8 まで
  • DHCP 4.3.0 から 4.3.6 まで

これらより古いバージョンも本脆弱性の影響を受ける可能性がありますが、サポートが終了しているため、DHCP 4.1.0 より前のバージョンについては開発者による確認は行われていません。

詳細情報

ISC DHCP には OMAPI 接続を閉じる際のクリーンアップ処理に誤りがあり、DHCP サーバで使用可能なファイルディスクリプタが枯渇する可能性があります。ファイルディスクリプタが枯渇するとサーバは追加の接続を受け付けないため、サーバ管理者による正当な接続も拒否してしまう可能性があります。

想定される影響

OMAPI 接続が可能な悪意のあるユーザにより、ファイルディスクリプタを枯渇させるサービス運用妨害 (DoS) 攻撃を受ける可能性があります。

対策方法

ワークアラウンドを実施する
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。

  • 許可されていないユーザからの OMAPI 接続を禁止する

なお開発者によると、ISC DHCP のメンテナンスリリースに含めるパッチは作成していますが、本脆弱性のみを対処するための特別なセキュリティパッチのリリースは予定していないとのことです。メンテナンスリリースに含めるパッチについての詳しい情報については、開発者へお問い合わせください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
BizMobile株式会社 該当製品無し 2018/01/22
サイバートラスト株式会社 該当製品あり 2018/02/05 サイバートラスト株式会社 の告知ページ
ジェイティ エンジニアリング株式会社 該当製品無し 2018/03/07
横河計測株式会社 該当製品無し 2018/01/18
ベンダ リンク
Internet Systems Consortium CVE-2017-3144: Failure to properly clean up closed OMAPI connections can exhaust available sockets

参考情報

  1. US-CERT
    ISC Releases Security Advisories for DHCP, BIND

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
基本値: 5.3
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:N/AC:L/Au:N/C:N/I:N/A:C
基本値: 7.8
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2017-3144
JVN iPedia

更新履歴

2018/01/18
横河計測株式会社のベンダステータスが更新されました
2018/01/22
BizMobile株式会社のベンダステータスが更新されました
2018/02/06
サイバートラスト株式会社のベンダステータスが更新されました
2018/03/07
ジェイティ エンジニアリング株式会社のベンダステータスが更新されました