JPCERT-AT-2002-0005
JPCERT/CC
2002-06-28
<<< JPCERT/CC Alert 2002-06-28 >>>
DNS resolver の脆弱性に関する注意喚起
Vulnerability of DNS resolver
http://www.jpcert.or.jp/at/2002/at020005.txt
I. 概要
BSD 系 OS の DNS resolver の実装にバッファオーバーフローの脆弱性が発
見されました。結果として、遠隔から第三者が resolver を使用しているプロ
セスの実行権限を取得する可能性があります。
II. 対象
現在のところ、この問題の存在が確認されている OS として、以下のものが
報告されています。
- FreeBSD
- NetBSD
- OpenBSD
詳細については、以下の URL で示されるページを参照してください。
FreeBSD Security Advisory SA-02:28.resolv
buffer overflow in resolver
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02:28.resolv.asc
NetBSD Security Advisory 2002-006
buffer overrun in libc DNS resolver
ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-006.txt.asc
OpenBSD 3.1 errata 007: SECURITY FIX: Jun 25, 2002
http://www.openbsd.org/errata.html#resolver
上記以外の OS についても、この問題が存在する可能性がありますので、詳
細については、各ベンダや配布元の提供する情報を参照してください。
III. 解決方法
ベンダや配布元が提供している情報などを参照して、resolver ルーチンを
含むライブラリ (libc) を更新してください。また、そのライブラリを静的に
リンクしているプログラムについては、修正されたライブラリを使って再コン
パイルする必要があります。
[関連文書]
Pine Internet Security Advisory PINE-CERT-20020601
Remote buffer overflow in resolver code of libc
http://www.pine.nl/advisories/pine-cert-20020601.txt
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。
======================================================================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/
Topへ