JVNDB-2007-000986

net-snmp における SNMP エージェントにおけるサービス運用妨害 (DoS) の脆弱性

net-snmp の SNMP エージェント (snmp_agent.c) には、GETBULK リクエストの処理に不備があり、サービス運用妨害 (DoS) 状態となる脆弱性が存在します。

基本値: 7.8 (危険) [NVD値]

• 攻撃元区分: ネットワーク
• 攻撃条件の複雑さ: 低
• 攻撃前の認証要否: 不要
• 機密性への影響(C): なし
• 完全性への影響(I): なし
• 可用性への影響(A): 全面的

Net-SNMP

• Net-SNMP 5.4.1 未満のバージョン

ミラクル・リナックス

• Asianux Server 3 for x86
• Asianux Server 3 for x86-64
• MIRACLE LINUX V3.0
• MIRACLE LINUX V3.0 for x86-64
• MIRACLE LINUX V4.0
• MIRACLE LINUX V4.0 for x86-64

レッドハット

• Red Hat Desktop (v.3)
• Red Hat Desktop (v.4)
• Red Hat Enterprise Linux (v.5 server)
• Red Hat Enterprise Linux AS (v.3)
• Red Hat Enterprise Linux AS (v.4)
• Red Hat Enterprise Linux Desktop (v.5 client)
• Red Hat Enterprise Linux ES (v.3)
• Red Hat Enterprise Linux ES (v.4)
• Red Hat Enterprise Linux WS (v.3)
• Red Hat Enterprise Linux WS (v.4)
• RHEL Desktop Workstation (v.5 client)

第三者により、大量に CPU リソースやメモリを使用されることで、サービス運用妨害 (DoS) 状態となる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Net-SNMP

• Change Log (NEWS) : 5.4.1
• Net-SNMP : GETBULK with large max-repeaters DoS [CVE-2007-5846]

ミラクル・リナックス

• Asianux Technical Support Network : net-snmp-5.3.1-19.1
• MIRACLE LINUX アップデート情報 : net-snmp (V3.0/V4.0)

レッドハット

• Red Hat Security Advisory : RHSA-2007:1045
• レッドハット セキュリティーアップデート : RHSA-2007:1045

1. National Vulnerability Database (NVD) : CVE-2007-5846
2. Common Vulnerabilities and Exposures (CVE) : CVE-2007-5846
3. Secunia Advisory : SA27558
4. SecurityFocus : 26378
5. SecurityTracker : 1018918
6. FrSIRT Advisories : FrSIRT/ADV-2007-3802
7. 共通脆弱性タイプ一覧 (CWE) : リソース管理の問題 (CWE-399) [NVD評価]

[2007年12月07日]
  掲載
[2007年12月21日]
  影響を受けるシステム：ミラクル・リナックス (net-snmp (V3.0/V4.0)) の情報追加。
  ベンダ情報: ミラクル・リナックス (net-snmp (V3.0/V4.0)) 追加。
[2008年01月18日]
  影響を受けるシステム：ミラクル・リナックス (net-snmp-5.3.1-19.1) の情報追加。
  ベンダ情報: ミラクル・リナックス (net-snmp-5.3.1-19.1) 追加。