net-snmpの開発者らは12月23日(現地時間)、「Net-SNMP snmptrapd vulnerability · Advisory · net-snmp/net-snmp · GitHub」において、簡易ネットワーク管理プロトコル(SNMP: Simple Network Management Protocol)のオープンソース実装「Net-SNMP」から緊急の脆弱性が発見されたと報じた。

この脆弱性を悪用されると、認証されていないユーザーに遠隔からサービス運用妨害(DoS: Denial of Service)を実行される可能性がある。

脆弱性に関する情報

脆弱性の情報は次のページにまとまっている。

脆弱性の情報(CVE)は次のとおり。

脆弱性が存在する製品

脆弱性が存在する製品およびバージョンは次のとおり。

Net-SNMP バージョン5.9.5よりも前のバージョン

Net-SNMP バージョン5.10.pre2よりも前のバージョン

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

Net-SNMP バージョン5.9.5

Net-SNMP バージョン5.10.pre2

影響と対策

SNMPはサーバやルータなど、幅広いネットワーク製品の監視プロトコルとして利用されている。脆弱性の発見報告に協力したZero Day Initiativeによると、攻撃者はNet-SNMPをインストールした環境で任意のコードを実行する可能性があるという。

この脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。net-snmpの開発者らは回避策が存在しないとして、製品の速やかなアップデートを推奨している。