gauge
区分
JVN番号
タイトル
JVN
深刻度
最終更新日
CVE番号
New
JVNDB-2002-000238

BIND の glibc リゾルバライブラリにおけるバッファオーバーフローの脆弱性

5.0
2007/04/01 00:00
CVE-2002-1146

JVNDB-2002-000238

BIND の glibc リゾルバライブラリにおけるバッファオーバーフローの脆弱性
概要
------------ 本脆弱性情報は、同時期に公開された複数の脆弱性について、まとめて解説したものです。タイトル以外の他の脆弱性情報の内容が含まれていますので予めご了承ください。 ------------ ISC BIND に同梱されている DNS スタブリゾルバライブラリは、ホスト名の IP アドレスを特定する際の Web ブラウザの実装等に利用されています。この際 DNS リゾルバライブラリには、潜在的な DNS レスポンスの最大サイズより小さいバッファサイズが渡されます。 割り当てられたバッファサイズを超える DNS レスポンスを受け取る際の実装に問題が存在します。これは、取り扱うレスポンスサイズのチェックが適切に行われないため、呼び出しているアプリケーションは、実際のレスポンスサイズの終端を越えて読み込んでしまいます。このため、リンクしてビルドされているプログラムがクラッシュしてしまう可能性が存在します。 さらに、BIND 4 由来のリゾルバライブラリの glibc や libresolv においても同様の問題が存在し、glibc や libresolv をリンクしてビルドされているプログラムがクラッシュする可能性があります。また、C ライブラリの拡張セットである nss_ldap もこの問題の影響を受ける可能性が存在します。 この問題を利用する悪意ある DNS レスポンスの送信が可能なリモートの攻撃者は、アプリケーション、もしくはシステムをサービス不能状態に陥らせることが可能です。また、特定の環境下ではメモリに格納されている内容が漏洩してしまう可能性も存在します。 尚、named デーモン自体は、この問題の影響を受けることはありません。
想定される影響と対策
本脆弱性に伴う影響については、「概要」をご参照ください。
JVNDB-2002-000238は、ベンダ情報及び参考情報を参照して適切な対策を実施してください。
JVN情報 ※( )内はCVSS v3の値
深刻度5.0N/A
CVECVE-2002-1146
公表日2002/10/02 00:00
登録日2007/04/01 00:00
更新日2007/04/01 00:00
CVSS v2情報
全ての情報を閲覧するにはユーザー登録(無料)またはログインが必要です。