FreeBSDをリモートからクラッシュさせることが可能な脆弱性
2016年1月28日 18:14
headless 曰く、 FreeBSDシステムで、リモートからのDoS攻撃が可能となる脆弱性CVE-2016-1879が発見され、The FreeBSD Projectがパッチを公開している(The FreeBSD Projectのセキュリティ情報、Positive Research Centerブログ、Softpedia)。
この脆弱性はSCTPスタックでICMPv6を処理する際にパケットの適切なチェックが行われないため、攻撃者は細工したICMPv6パケットを送り付けることでカーネルパニックを引き起こすことが可能になるというもの。脆弱性はFreeBSD 9.3/10.1/10.2に存在し、IPv6サポートとSCTPサポートの両方を有効(デフォルト)にしてコンパイルしたカーネルを使用している場合に影響を受ける。
影響を受けるシステムでは最新版に更新するか、パッチを適用することで、SCTPでICMPv6を処理する際に追加のチェックが行われるようになる。このほか、最新版ではCVE-2015-5677とCVE-2016-1880、CVE-2016-1881、CVE-2016-1882の修正も行われている。
スラドのコメントを読む | オープンソースセクション | オープンソース | セキュリティ | 通信 | バグ | BSD
関連ストーリー: BIND 9系に脆弱性 2016年01月22日 2015年に脆弱性の報告件数が多かった製品は? 2016年01月08日 MySQL/MariaDBにバグ、256分の1の確率で間違ったパスワードでも認証されてしまう 2012年06月13日 OpenBSDに2つ目のリモート脆弱性が発見される 2007年03月15日