公開日:2002/11/18 最終更新日:2002/11/18

JVNCA-2002-19
DNS リゾルバの実装に含まれる脆弱性

概要

DNS リゾルバのいくつかの実装には、バッファオーバーフローの脆弱性が存在します。結果として、遠隔から任意のコードを実行される可能性があります。
この脆弱性は、脆弱な DNS リゾルバライブラリを使用しているプログラム (ネットワークアプリケーションなど) の実装にも影響を与えるものであり、DNS あるいは BIND サーバに限定された脆弱性ではありません。

影響を受けるシステム

詳細情報

想定される影響

脆弱な DNS リゾルバを使用しているプログラム (サーバソフトウェアなど) がサービス運用妨害 (denial-of-service, DoS) 攻撃を受けたり、そのプログラムを経由して第三者が任意のコードを実行する可能性があります。

対策方法

ベンダ情報

ベンダ リンク
FreeBSD
富士通 CA-2002-19に対する富士通の情報
富士通 CA-2002-19に対するSolaris OEの情報
Hewlett-Packard DNSリゾルバライブラリにおけるセキュリティ脆弱性
Hewlett-Packard HP周辺装置のDNSにおけるセキュリティ脆弱性
Hewlett-Packard glibcにおけるセキュリティ脆弱性
Hewlett-Packard bindリゾルバライブラリにおけるセキュリティ脆弱性
日立 GR2000 DNSリゾルバ機能の脆弱性に関するご報告
日立 DNSリゾルバライブラリに関するセキュリティ問題の説明
ミラクル・リナックス bind-9 のセキュリティ問題について
NetBSD
Red Hat bindパッケージのアップデート
Red Hat glibcパッケージのアップデート
Sun Microystems Buffer Overflow in DNS Resolver Library (CA-2002-19)
Turbolinux Japan glibc: resolverの脆弱性

参考情報

  1. LAC
    CERT Advisory CA-2002-19 Buffer Overflows in Multiple DNS Resolver Libraries [翻訳版]
  2. CERT Vulnerability Note VU#803539
    Multiple vendors' Domain Name System (DNS) stub resolvers vulnerable to buffer overflows
  3. CERT Vulnerability Note VU#542971
    Multiple vendors' Domain Name System (DNS) stub resolvers vulnerable to buffer overflow via network name and address lookups
  4. CIAC Bulletin M-110
    Buffer Overflow in Multiple Domain Name System (DNS) Libraries
  5. V-STAF: dns-resolver-lib-bo (9432)
    ISC BIND (libbind) 及び BSD (libc) の DNS リゾルバライブラリによるバッファオーバフロー
  6. ISS X-Force Database: bind-dns-libresolv-bo (10624)
    ISC BIND DNS stub resolver library (libresolv.a) stack buffer overflows

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2002-0005
JPCERT/CC Alert 2002-06-28, DNS resolver の脆弱性に関する注意喚起
JPCERT REPORT JPCERT-WR-2002-2501
JPCERT/CC REPORT 2002-07-03
CERT Advisory CERT Advisory CA-2002-19
Buffer Overflows in Multiple DNS Resolver Libraries
CPNI Advisory
TRnotes
CVE CAN-2002-0651
VU#803539,XF9432
JVN iPedia