独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は1月17日、「ISC BIND 9」および「ISC DHCP」にDoS攻撃を受ける脆弱性が存在すると、「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3による最大Base Scoreは7.5。これは、開発元であるISCの発表を受けたもの。「BIND 9」には、反復検索におけるクリーンアップ処理の順序に誤りがありり、結果として解放済みメモリ使用(use-after-free)による assertion failure が発生し、namedが異常終了する脆弱性(CVE-2017-3145)が存在する。また、「ISC DHCP」には、OMAPI接続を閉じる際のクリーンアップ処理に誤りがあり、DHCPサーバで使用可能なファイルディスクリプタが枯渇する脆弱性(CVE-2017-3144)が存在する。ファイルディスクリプタが枯渇するとサーバは追加の接続を受け付けないため、サーバ管理者による正当な接続も拒否してしまう可能性がある。JVNでは、BIND 9については最新版へのアップデートを呼びかけている。なお、DNSSECの検証を無効にすることで、本脆弱性の影響を軽減できるとしている。一方、DHCPはパッチの提供が予定されていない。JVNでは、許可されていないユーザからのOMAPI接続を禁止することで、本脆弱性の影響を軽減できるとしている。
Oracle Weblogic Server の wls-wsat コンポーネントにおけるデシリアライゼーションの不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)2018.1.15 Mon 8:30
