Internet Systems Consortium |
Internet Systems Consortium (ISC)は4月5日(米国時間)、DHCPサーバ/クライアントの最新版となる「DHCP 4.2.1-P1」「DHCP 4.1-ESV-R2」「DHCP 3.1-ESV-R1」を公開した。これはCVE-2011-0997として報告されている脆弱性に対応するためのリリース。セキュリティの重大さは中(Medium)と位置づけられている。
説明によると、ISC DHCPの3.0.xから4.2.xまでのバージョンのクライアント(dhclient)に任意のコードの実行を許す脆弱性が存在するという。DHCPサーバ(dhcpd)から送られてくる特定のレスポンスに含まれるシェルメタキャラクタをエスケープ、または削除する処理が含まれておらず、これを利用されるとDHCPクライアントで任意のコードが実行される可能性があるという。
この脆弱性に対応するにはホストネームアップデートといった機能を無効にするか、今回公開された「DHCP 4.2.1-P1」「DHCP 4.1-ESV-R2」「DHCP 3.1-ESV-R1」へアップグレードする必要がある。4.0.x系はすでにサポート対象からはずれているためパッチは提供されていない。