JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は5月28日、「JVNVU#95111565: ISC DHCP におけるバッファオーバーフローの脆弱性」において、ISC DHCPに脆弱性が存在すると伝えた。対象の脆弱性を悪用されると、攻撃者によってプログラムの不正終了を引き起こされる危険性がある。
脆弱性に関する情報は次のページにまとまっている。
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- ISC DHCP 4.1-ESV-R1から4.1-ESV-R16までのバージョン
- ISC DHCP 4.4.0から4.4.2までのバージョン
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- ISC DHCP 4.1-ESV-R16-P1
- ISC DHCP 4.4.2-P1
-
CVE-2021-25217: A buffer overrun in lease file parsing code can be used to exploit a common vulnerability shared by dhcpd and dhclient - Security Advisories
ISC DHCP クライアントの脆弱性の)深刻度はCVSSv3スコア値7.4で重要(High)と評価されており注意が必要。また、既にサポートが終了したバージョンにもこの脆弱性が存在する可能性がある点も指摘されている。JPCERT/CCは開発者の提供する情報に基づいてアップデートを適用することを推奨している。
