JPCERT コーディネーションセンター

DNS resolver の脆弱性に関する注意喚起

JPCERT-AT-2002-0005
JPCERT/CC
2002-06-28

JPCERT/CC Alert 2002-06-28


DNS resolver の脆弱性に関する注意喚起

Vulnerability of DNS resolver

http://www.jpcert.or.jp/at/2002/at020005.txt

I. 概要

BSD 系 OS の DNS resolver の実装にバッファオーバーフローの脆弱性が発見されました。結果として、遠隔から第三者が resolver を使用しているプロセスの実行権限を取得する可能性があります。


II. 対象

現在のところ、この問題の存在が確認されている OS として、以下のものが報告されています。

- FreeBSD
- NetBSD
- OpenBSD

詳細については、以下の URL で示されるページを参照してください。

FreeBSD Security Advisory SA-02:28.resolv
buffer overflow in resolver
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02:28.resolv.asc

NetBSD Security Advisory 2002-006
buffer overrun in libc DNS resolver
ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-006.txt.asc

OpenBSD 3.1 errata 007: SECURITY FIX: Jun 25, 2002
http://www.openbsd.org/errata.html#resolver

上記以外の OS についても、この問題が存在する可能性がありますので、詳細については、各ベンダや配布元の提供する情報を参照してください。


III. 解決方法

ベンダや配布元が提供している情報などを参照して、resolver ルーチンを含むライブラリ (libc) を更新してください。また、そのライブラリを静的にリンクしているプログラムについては、修正されたライブラリを使って再コンパイルする必要があります。



[関連文書]

Pine Internet Security Advisory PINE-CERT-20020601
Remote buffer overflow in resolver code of libc
http://www.pine.nl/advisories/pine-cert-20020601.txt


今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

==============================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/
Topへ
最新情報(RSSメーリングリストTwitter