セキュリティブログ

【脆弱性情報/JVN】Dnsmasq に複数の脆弱性

2017.10.04

独立行政法人 情報処理推進機構(IPA)さんおよび、一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)さんは10月3日、オープンソースソフトウェアである「Dnsmasq」に複数の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」にて発表しています。

※以下、JVNさんウェブサイトより抜粋

概要

Dnsmasq には、複数の脆弱性が存在します。

影響を受けるシステム

  • Dnsmasq バージョン 2.77 およびそれ以前

詳細情報

Dnsmasq は、広く使用されているオープンソースソフトウェアです。Dnsmasq には、次の複数の脆弱性が存在します。

  • ヒープベースのバッファオーバーフロー (CWE-122) – CVE-2017-14491
  • ヒープベースのバッファオーバーフロー (CWE-122) – CVE-2017-14492
  • スタックベースのバッファオーバーフロー (CWE-121) – CVE-2017-14493
  • 情報漏えい (CWE-200) – CVE-2017-14494
  • 無制限なリソースの消費(リソース枯渇) (CWE-400) – CVE-2017-14495
  • 整数アンダーフロー (CWE-191) – CVE-2017-14496, CVE-2017-13704

詳細は Google Security blog post を参照してください。

想定される影響

DNS や DHCP プロトコル経由で、遠隔の第三者によって任意のコード実行や、情報の漏えい、サービス運用妨害 (DoS) 攻撃が行われる可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性の対策版として Dnsmasq バージョン 2.78 がリリースされています。

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
アライドテレシス株式会社 脆弱性情報提供済み 2017/10/03
エレコム株式会社 該当製品無し(調査中) 2017/10/03
オムロン株式会社 脆弱性情報提供済み 2017/10/03
コニカミノルタ株式会社 該当製品無し 2017/10/03
シャープ株式会社 該当製品無し(調査中) 2017/10/03
ジェイティ エンジニアリング株式会社 該当製品無し 2017/10/18
セイコーエプソン株式会社 該当製品無し 2017/10/03
ソースネクスト株式会社 該当製品無し 2017/10/04
ビー・ユー・ジーDMG森精機株式会社 該当製品無し 2017/10/03
プラネックスコミュニケーションズ株式会社 脆弱性情報提供済み 2017/10/03
富士通株式会社 該当製品無し(調査中) 2017/10/03
株式会社リコー 該当製品無し(調査中) 2017/10/03
横河メータ&インスツルメンツ株式会社 該当製品無し 2017/10/03
ベンダ リンク
Dnsmasq CHANGELOG

※ここまで

ご確認とご対応をよろしくお願いいたします。