UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害（DoS）の脆弱性

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は3月21日、UDPベースのアプリケーション層プロトコル実装におけるサービス運用妨害（DoS）の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。影響を受けるシステムは以下の通り。

UDPベースのアプリケーション層プロトコル実装
※ DNS、NTP、TFTP、Daytime、Time、Active Users、Echo、Chargen、QOTDのプロトコル実装にて本脆弱性を確認

　UDPを利用するアプリケーション層のプロトコル実装ではサービス運用妨害（DoS）の脆弱性が報告されており、本脆弱性の影響を受けるプロトコル実装では通常、不正な通信に対しエラーメッセージを返すが、IPが偽装されていた場合、偽装されたIPに対してエラーメッセージを返し、偽装されたサーバも同脆弱性の影響を受ける場合、同じ動作によりエラーメッセージを返すため、相互にエラーメッセージを送信し続け、リソースを消費する。

　想定される影響としては、本脆弱性が悪用された場合、当該プロトコル実装を利用したシステムおよび関連するネットワーク上のシステムがサービス運用妨害（DoS）状態となる可能性がある。

　JVNでは、開発者が提供する情報をもとにアップデートを適用するか、ワークアラウンドを実施するよう呼びかけている。