ISC DHCPに異常終了の脆弱性

Internet Systems Consortiumは1月12日(米国時間)、「CVE-2015-8605: UDP payload length not properly checked｜Internet Systems Consortium Knowledge Base」において、ISC DHCPの複数のバージョンに脆弱性が存在すると伝えた。

不適切なIPv4 UDP長フィールドとともに細工したパケットを送信されるとDHCPサーバ、DHCPクライアント、DHCPリレープログラムが異常終了する危険性があると説明されている。

脆弱性が存在するプロダクトおよびバージョンは次のとおり。

• ISC DHCP 4.0.x
• ISC DHCP 4.1.x
• ISC DHCP 4.2.x
• ISC DHCP 4.1-ESV～4.1-ESV-R12
• ISC DHCP 4.3.0～4.3.3

試験は実施していないものの、3.x系列にはこの脆弱性は存在していないという。一時的に危険性を低減する方法も紹介されているが、すでに脆弱性が修正されたバージョン(4.1-ESV-R12-P1および4.3.3-P1)が公開されていることから、これら修正版へのアップグレードを実施することが推奨される。