JVNDB-2007-000634

BIND8 の乱数生成に脆弱性

BIND8 には、生成する ID 情報が推測されやすい乱数になっているためキャッシュ汚染を引き起こされる可能性があります。

Internet Systems Consortium (ISC) が提供する BIND は DNS サービスを行なうために広く使用されているソフトウェアのひとつです。BIND8 には、生成する ID 情報が推測されやすい乱数になっているためキャッシュ汚染を引き起こされる可能性があります。

IBM

• IBM AIX 5.2 
• IBM AIX 5.3 

ISC, Inc.

• BIND 8.4.7 およびそれ以前

サン・マイクロシステムズ

• Sun Solaris 8 (sparc) 
• Sun Solaris 8 (x86) 
• Sun Solaris 9 (sparc) 
• Sun Solaris 9 (x86) 

ヒューレット・パッカード

• HP-UX 11.11 

遠隔の第三者によってキャッシュ汚染引き起こされることにより、通信の妨害やフィッシング攻撃が行なわれる可能性があります。

BIND9 の最新バージョンへアップデートすることを推奨します。

ただし、アップデート対応がすぐにできない場合に対して、ISC からは、BIND8.4.7-p1.patch が提供されています。

IBM

• IBM SECURITY ADVISORY : 3975
• IBM Support Document : IZ05609
• IBM Support Document : IZ05686

ISC, Inc.

• BIND 8 End Of Life Announcement : CVE-2007-2930
• ISC BIND Vulnerabilities : BIND 8: cryptographically weak DNS query IDs
• ISC, Inc. : ISC BIND
• ISC, Inc. : BIND8.4.7-p1.patch

サン・マイクロシステムズ

• Sun Alert Notification : 103063

ヒューレット・パッカード

• HP Security Bulletin : HPSBUX02289
• HP セキュリティ報告 : HPSBUX02289

1. 設計上の問題(CWE-DesignError) [NVD評価]

1. CVE-2007-2930

1. JVN : JVNVU#927905
2. JVN : JVNVU#252735 (JVNDB-2007-000549)
3. JVN : JVNTA08-190B
4. National Vulnerability Database (NVD) : CVE-2007-2930
5. US-CERT Vulnerability Note : VU#927905

• [2007年09月13日]
    掲載
  [2007年09月25日]
    影響を受けるシステム：サン・マイクロシステムズ (103063) の情報追加。
    ベンダ情報: サン・マイクロシステムズ (103063) 追加。
  [2007年11月08日]
    影響を受けるシステム：IBM (3975) の情報追加。
    ベンダ情報: IBM の情報を追加。
    ・3975
    ・IZ05609
    ・IZ05686
  [2007年12月11日]
    影響を受けるシステム：ヒューレット・パッカード (HPSBUX02289) の情報追加。
    ベンダ情報: ヒューレット・パッカード (HPSBUX02289) 追加。