JVNDB-2003-000003

複数ベンダ製品の Ethernet Network Interface Card デバイスドライバに情報漏洩の脆弱性

Ethernet Network Interface Card (NIC) デバイスドライバには、パケットのデータフィールドが一定のサイズより小さい場合、埋められていない領域を NULL で埋めずに、以前に送信したフレームデータを再利用してそのフレームデータで埋めてしまう脆弱性が存在します。

オラクル

• Oracle Solaris 10
• Oracle Solaris 11

サン・マイクロシステムズ

• Sun Solaris 2.6 (sparc) 
• Sun Solaris 7.0 (sparc) 
• Sun Solaris 8 (sparc) 
• Sun Solaris 9 (sparc) 
• Sun Cobalt RaQ550

ヒューレット・パッカード

• HP-UX 10.20 
• HP-UX 11.00 
• HP-UX (VVOS) 11.04  

レッドハット

• Red Hat Linux 6.2  
• Red Hat Linux 7.0  
• Red Hat Linux 7.1  
• Red Hat Linux 7.2  
• Red Hat Linux 7.3  
• Red Hat Linux 8.0  

リプライメッセージのデータフィールドに埋め込まれているカーネルメモリの内容の一部を取得される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

オラクル

• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2015
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices
• SECURITY BLOG : January 2015 Critical Patch Update Released

サン・マイクロシステムズ

• Sun Alert Notification : 57040
• Sun Alert Notification 日本語版 : 57040
• Sun Cobalt RaQ Patches : Sun Cobalt RaQ 550 Patches

ヒューレット・パッカード

• HP Security Bulletin : HPSBUX0305-261
• HP セキュリティ報告 : HPSBUX0305-261

レッドハット

• Red Hat Security Advisory : RHSA-2003:088
• Red Hat Security Advisory : RHSA-2003:025
• レッドハット セキュリティーアップデート : RHSA-2003:025
• レッドハット セキュリティーアップデート : RHSA-2003:088

1. 情報漏えい(CWE-200) [NVD評価]

1. CVE-2003-0001

1. National Vulnerability Database (NVD) : CVE-2003-0001
2. US-CERT Vulnerability Note : VU#412115
3. SecurityFocus : 6535
4. SecurityTracker : 1006959

• [2007年04月01日]
    掲載
  [2015年01月22日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - January 2015) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices) を追加
    ベンダ情報：オラクル (January 2015 Critical Patch Update Released) を追加