Internet Systems Consortium |
Internet Systems Consortiumは1月12日(米国時間)、「CVE-2015-8605: UDP payload length not properly checked|Internet Systems Consortium Knowledge Base」において、ISC DHCPの複数のバージョンに脆弱性が存在すると伝えた。
不適切なIPv4 UDP長フィールドとともに細工したパケットを送信されるとDHCPサーバ、DHCPクライアント、DHCPリレープログラムが異常終了する危険性があると説明されている。
脆弱性が存在するプロダクトおよびバージョンは次のとおり。
- ISC DHCP 4.0.x
- ISC DHCP 4.1.x
- ISC DHCP 4.2.x
- ISC DHCP 4.1-ESV~4.1-ESV-R12
- ISC DHCP 4.3.0~4.3.3
試験は実施していないものの、3.x系列にはこの脆弱性は存在していないという。一時的に危険性を低減する方法も紹介されているが、すでに脆弱性が修正されたバージョン(4.1-ESV-R12-P1および4.3.3-P1)が公開されていることから、これら修正版へのアップグレードを実施することが推奨される。