-----BEGIN PGP SIGNED MESSAGE----- JPCERT-AT-2002-0005 JPCERT/CC 2002-06-28 <<< JPCERT/CC Alert 2002-06-28 >>> DNS resolver の脆弱性に関する注意喚起 Vulnerability of DNS resolver http://www.jpcert.or.jp/at/2002/at020005.txt I. 概要 BSD 系 OS の DNS resolver の実装にバッファオーバーフローの脆弱性が発 見されました。結果として、遠隔から第三者が resolver を使用しているプロ セスの実行権限を取得する可能性があります。 II. 対象 現在のところ、この問題の存在が確認されている OS として、以下のものが 報告されています。 - FreeBSD - NetBSD - OpenBSD 詳細については、以下の URL で示されるページを参照してください。 FreeBSD Security Advisory SA-02:28.resolv buffer overflow in resolver ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02:28.resolv.asc NetBSD Security Advisory 2002-006 buffer overrun in libc DNS resolver ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-006.txt.asc OpenBSD 3.1 errata 007: SECURITY FIX: Jun 25, 2002 http://www.openbsd.org/errata.html#resolver 上記以外の OS についても、この問題が存在する可能性がありますので、詳 細については、各ベンダや配布元の提供する情報を参照してください。 III. 解決方法 ベンダや配布元が提供している情報などを参照して、resolver ルーチンを 含むライブラリ (libc) を更新してください。また、そのライブラリを静的に リンクしているプログラムについては、修正されたライブラリを使って再コン パイルする必要があります。 [関連文書] Pine Internet Security Advisory PINE-CERT-20020601 Remote buffer overflow in resolver code of libc http://www.pine.nl/advisories/pine-cert-20020601.txt 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 ====================================================================== コンピュータ緊急対応センター (JPCERT/CC) http://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBPvbS2Ix1ay4slNTtAQFkjQQAhpDiYvz75fHWNusZnyC3rhkjbkZpHMw8 p5fmZsgqZ0Y8/NNBM1wbM2Fah/ROOmSHrGUeBlCMHMVjx6d7mdb8/GS2HaVLuX5a OZehsO2+lGSLR4ilcWSiinSeV9qhJqObQK/GX69zcnqMkvDaIqF6TuqR9piW4rjC CLgmq3dP6kY= =Aws2 -----END PGP SIGNATURE-----