公開日:2003/01/20 最終更新日:2003/01/20

JVNCA-2003-01
ISC DHCPD minires ライブラリにバッファオーバーフローの脆弱性

概要

Internet Software Consortium (ISC) が提供している Dynamic Host Configuration Protocol Daemon (DHCPD) バージョン 3.0 から 3.0.1RC10 には、ネームサーバの動的な更新を行なう NSUPDATE 機能で使用している minires ライブラリのエラー処理ルーチンにバッファオーバーフローの脆弱性が存在します。
脆弱性については、遠隔から任意のコードを実行される可能性があります。

影響を受けるシステム

  • ISC DHCPD versions 3.0 ~ 3.0.1RC10 が稼動するシステム

詳細情報

想定される影響

遠隔から第三者が dhcpd プロセスの権限で任意のコードを実行する可能性があります。

対策方法

ベンダ情報

ベンダ リンク
Debian dhcp3 -- スタックオーバフロー
Foretune
富士通 CA-2003-01に対する富士通の情報
富士通 CA-2003-01に対するSolaris OEの情報
日立 Hitachi Information for VU#284857
Internet Software Consortium ISC Dynamic Host Configuration Protocol (DHCP)
Red Hat dhcpパッケージのアップデート
Turbolinux Japan dhcp バッファーオーバーフローの問題

参考情報

  1. CERT Vulnerability Note VU#284857
    ISC DHCPD minires library contains multiple buffer overflows
  2. CIAC Bulletin N-031
    Buffer Overflows in ISC DHCPD Minires Library
  3. V-STAF: dhcpd-minires-multiple-bo (11073)
    ICS DHCP デーモンの minires ライブラリの複数バッファオーバーフロー
  4. LAC
    CERT Advisory CA-2003-01 Buffer Overflows in ISC DHCPD Minires Library [翻訳版]

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT JPCERT-WR-2003-0301
JPCERT/CC REPORT 2003-01-22
CERT Advisory CERT Advisory CA-2003-01
Buffer Overflows in ISC DHCPD Minires Library
CPNI Advisory
TRnotes
CVE CAN-2003-0026
VU#284857,XF11073
JVN iPedia