Hitach Incident Response Team

 6月5日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

NTP 4.2.8p8リリース(2016/06/02)

 NTP 4.2.8p8では、認証失敗時のメッセージCRYPTO_NAK処理におけるサービス拒否攻撃を許してしまう脆弱性(CVE-2016-4957)、CRYPTO_NAKメッセージに関連し、不正なパケットにより時刻同期の妨害を許してしまう脆弱性(CVE-2016-4953、CVE-2016-4954、CVE-2016-4955)、ブロードキャストクライアントのインターリーブモードへの強制的な切り替えを許してしまう脆弱性(CVE-2016-4956)、計5件の脆弱性を解決しています。インターリーブモードに切り替えられてしまうと、以前に連携していたサーバーからのパケットを拒否するため、時刻同期の妨害をしやすい状態を作り出すことができます。

BIND 9.10.4-P1、9.9.9-P1リリース(2016/06/02)

 BIND 9.10.4-P1、9.9.9-P1は、バグの修正を目的としたリリースです。いずれのバージョンも、Windows環境で発生するインストール失敗に関する不具合、DNS Red-Black Tree処理での競合に関する不具合を修正しています。

米シスコ製品

■NTPの脆弱性への対応(2016/06/03)

 ソーシャルメディア系、ネットワーク管理系、ルーターならびにスイッチ系、音声ならびにビデオ会議系、無線製品には、NTP 4.2.8p8で解決した、サービス拒否攻撃を許してしまう脆弱性など計5件の脆弱性が存在します。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら