JVNDB-2014-005201
|
uIP と lwIP の DNS リゾルバにキャッシュポイズニングの脆弱性
|
uIP と lwIP に実装されている DNS リゾルバには、キャッシュポイズニング攻撃が容易になる脆弱性が存在します。
uIP と lwIP に実装されている DNS リゾルバでは、トランザクション ID およびソースポートのランダム化が行われていません (CWE-330)。
CWE-330: Use of Insufficiently Random Values
http://cwe.mitre.org/data/definitions/330.html
なお、National Vulnerability Database (NVD) では、CWE-345 として公開されています。
CWE-345: Insufficient Verification of Data Authenticity (データの信頼性についての不十分な検証)
http://cwe.mitre.org/data/definitions/345.html
|
CVSS v2 による深刻度 基本値: 6.8 (警告) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
lwIP プロジェクト
uIP project
|
|
キャッシュポイズニング攻撃によって、偽の DNS 情報をキャッシュさせられる可能性があります。結果として、ユーザが偽のサイトに誘導される可能性があります。
|
lwIP は、ソースコードのリポジトリ上では修正がコミットされています。
コミット b8d798158bce0068260302371afb2b4ab4d3678a 以降にアップグレードしてください。
uIP は Contiki プロジェクトに統合されています。
2014年11月4日現在、Contiki プロジェクトの対策方法は不明です。
[ワークアラウンドを実施する]
JVNVU#800113 の対策方法を参考に、ワークアラウンドを実施してください。
JVNVU#800113
複数の DNS 実装にキャッシュポイズニングの脆弱性
https://jvn.jp/vu/JVNVU800113/
|
GNU Project
lwIP プロジェクト
|
- 不十分なランダム値の使用(CWE-330) [その他]
- データの信頼性についての不十分な検証(CWE-345) [NVD評価]
|
- CVE-2014-4883
|
- JVN : JVNVU#98989920
- JVN : JVNVU#800113
- National Vulnerability Database (NVD) : CVE-2014-4883
- US-CERT Vulnerability Note : VU#210620
|
- [2014年11月05日]
掲載
[2014年12月01日]
概要:内容を更新
CWE による脆弱性タイプ一覧:CWE-ID を追加
参考情報:National Vulnerability Database (NVD) (CVE-2014-4883) を追加
|