aboutsummaryrefslogtreecommitdiffstats
path: root/japanese/security/2002/dsa-196.wml
blob: 2e216f773af4f4b6828678e20a4f981f5b7e6e9e (plain) (blame) 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66

#use wml::debian::translation-check translation="e12c94c1bd26a24ae67d1359239e6c2d7a6c8f75"
<define-tag description>複数の脆弱性</define-tag>
<define-tag moreinfo>
<p>[Bind バージョン 9、bind9 パッケージにはこの問題は影響しません。]</p>

<p>ISS X-Force が Berkeley Internet Name Domain サーバ (BIND)
に複数の深刻な脆弱性を発見しました。BIND は最も普及している DNS (ドメイン名サービス)
プロトコルの実装で、インターネット上の大多数の DNS サーバで使われています。DNS
は覚えやすいドメイン名 (ホスト名) とそれに対応する数値の
IP アドレスのデータベースを管理する、不可欠なインターネットプロトコルです。</p>

<p>この問題について、BIND のメンテナである the Internet Software Consortium (ISC)
が 10 月中旬に把握していたことを状況証拠が暗示しています。Debian
を含めたオープンソースオペレーティングシステムのディストリビューターは、1112 日の勧告発表の約 12 時間前に CERT を経由してこの脆弱性について通知されました。
この通知には脆弱なコードを特定できるような詳細が一切含まれず、
早期修正に取りかかるにはほど遠いものでした。</p>

<p>残念ながら ISS および ISC が発表するセキュリティ勧告は脆弱性の説明をするだけで、
パッチはありません。
悪用者のコミュニティに悪用方法が知られた兆候や活発な攻撃の報告がないとはいえ、
そういった攻撃方法は修正が利用可能にならないうちに開発される可能性があります。</p>

<p>We can all express our regret at the inability of the 皮肉なことに named
Internet Software Consortium  to work with the インターネット コミュニティ in handling
この問題は.
 Hope完全に this will not become a model for dealing with
セキュリティissues in the future.</p>

<p>The Common Vulnerabilities and Exposures (CVE) project
 は以下の脆弱性を認識しています:</p>

<ol>
<li>CAN-2002-1219: BIND 8 のバージョン 8.3.3
   およびそれ以前にあるバッファオーバフローにより、リモートの攻撃者に特定の
   DNS サーバの SIG リソースレコード (RR)
   を含む応答を経由した任意のコードの実行を許しています。
   このバッファオーバフローを悪用して、攻撃対象者のホストで named
   プロセスが動作しているアカウント、通常 root
   の権限を取得することが可能です。</li>

<li>CAN-2002-1220: BIND 8 のバージョン 8.3.3 までの 8.3.x
   では、サイズの大きな UDP ペイロードを持つ OPT リソースレコード
   (RR) を伴う、存在しないサブドメインのリクエストを経由して、
   リモートの攻撃者がサービス拒否 (assertion failure による終了)
   を引き起こすことが可能です。</li>

<li>CAN-2002-1221: BIND 8 バージョン 8.3.3 までの 8.x
   では、リモートの攻撃者が不正な有効期間を持つ SIG リソースレコード (RR)
   を経由してサービス拒否 (crash) を引き起こすことが可能です。
   このリソースレコード (RR) は内部の BIND データベースからは削除され、後から
   null 値参照を引き起こします。</li>
</ol>

<p>この問題は現在の安定版 (stable) ディストリビューション (woody)
ではバージョン 8.3.3-2.0woody1、旧安定版 (stable) ディストリビューション
(potato) ではバージョン 8.2.3-0.potato.3、不安定版 (unstable)
ディストリビューション (sid) ではバージョン 8.3.3-3 で修正されています。unstable
の修正されたパッケージは今日アーカイブに入る予定です。</p>

<p>直ちに bind パッケージを更新するか bind9 へのアップグレード、あるいは他の
DNS サーバの実装に切り替えることを勧めます。</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-196.data"

© 2014-2024 Faster IT GmbH | imprint | privacy policy