【活用ガイド】

JVNDB-2014-005201

uIP と lwIP の DNS リゾルバにキャッシュポイズニングの脆弱性

概要

uIP と lwIP に実装されている DNS リゾルバには、キャッシュポイズニング攻撃が容易になる脆弱性が存在します。

uIP と lwIP に実装されている DNS リゾルバでは、トランザクション ID およびソースポートのランダム化が行われていません (CWE-330)。

CWE-330: Use of Insufficiently Random Values
http://cwe.mitre.org/data/definitions/330.html

なお、National Vulnerability Database (NVD) では、CWE-345 として公開されています。

CWE-345: Insufficient Verification of Data Authenticity (データの信頼性についての不十分な検証)
http://cwe.mitre.org/data/definitions/345.html
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 6.8 (警告) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): 部分的
影響を受けるシステム


lwIP プロジェクト
  • lwIP バージョン 1.4.1 およびそれ以前
uIP project
  • uIP

想定される影響

キャッシュポイズニング攻撃によって、偽の DNS 情報をキャッシュさせられる可能性があります。結果として、ユーザが偽のサイトに誘導される可能性があります。
対策

lwIP は、ソースコードのリポジトリ上では修正がコミットされています。
コミット b8d798158bce0068260302371afb2b4ab4d3678a 以降にアップグレードしてください。

uIP は Contiki プロジェクトに統合されています。
2014年11月4日現在、Contiki プロジェクトの対策方法は不明です。

[ワークアラウンドを実施する]
JVNVU#800113 の対策方法を参考に、ワークアラウンドを実施してください。

JVNVU#800113
複数の DNS 実装にキャッシュポイズニングの脆弱性
https://jvn.jp/vu/JVNVU800113/
ベンダ情報

GNU Project lwIP プロジェクト
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 不十分なランダム値の使用(CWE-330) [その他]
  2. データの信頼性についての不十分な検証(CWE-345) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2014-4883
参考情報

  1. JVN : JVNVU#98989920
  2. JVN : JVNVU#800113
  3. National Vulnerability Database (NVD) : CVE-2014-4883
  4. US-CERT Vulnerability Note : VU#210620
更新履歴

  • [2014年11月05日]
      掲載
    [2014年12月01日]
      概要:内容を更新
      CWE による脆弱性タイプ一覧:CWE-ID を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2014-4883) を追加

公表日2014/11/03
登録日2014/11/05
最終更新日2014/12/01