【活用ガイド】

JVNDB-2016-001636

ISC DHCP にサービス運用妨害 (DoS) の脆弱性

概要

ISC DHCP には、サービス運用妨害 (DoS) の脆弱性が存在します。

ISC DHCP サーバは、プロセス間通信や制御を行うために使用する TCP ポートへの同時接続数を適切に制限しません。そのため、攻撃者は大量の TCP 接続を確立することで、DHCP サーバの処理を妨げることが可能です。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 5.9 (警告) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): なし
  • 完全性への影響(I): なし
  • 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 7.1 (危険) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): なし
  • 完全性への影響(I): なし
  • 可用性への影響(A): 全面的
影響を受けるシステム


ISC, Inc.
  • ISC DHCP 4.1.0 から 4.1-ESV-R12-P1 まで
  • ISC DHCP 4.2.0 から 4.2.8 まで
  • ISC DHCP 4.3.0 から 4.3.3-P1 まで

これらより古いバージョンも本脆弱性の影響を受ける可能性がありますが、サポートが終了しているため、DHCP 4.1.0 より前のバージョンについては開発者による確認は行われていません。
想定される影響

想定される影響はサーバのバージョンや攻撃されるチャネル、OS の設定などによって異なります。例えば、次のような影響を受ける可能性があります。

  * INSIST failure が発生してサーバが停止する
  * サーバが応答不能状態となり、クライアントのリクエストに返答しなくなる
  * サーバは動作を継続するが、OMAPI クライアントやフェイルオーバー用ピアからの接続を受け付けなくなる
  * 運用環境で制限がかけられていない場合、大量のソケットをオープンすることで、同一マシン上で動作する他のサービスに影響を及ぼす

なお、想定される影響はこれらに限りません。

本脆弱性の影響を受けるリスクが最も高いのが OMAPI ポートです (OMAPI を有効にしている場合)。フェイルオーバー用ポートについては、ピア以外からの接続要求は遮断されます。(そのため、フェイルオーバー用ポートへの攻撃は難しくなりますが、不可能ではありません。) しかし、OMAPI は接続元を制限する機能を持っていません。
対策

2016年3月に、本脆弱性への攻撃を難しくする対策コードが追加された DHCP 4.1-ESV-R13 および DHCP 4.3.4 がリリースされる予定です。
開発者は、以下の対策の実施を推奨しています。

[通信を制限する]
信頼できるホスト以外からの通信を遮断してください。

[機能を無効化する]
OMAPI やフェイルオーバー機能を使用していない場合、これらの機能を無効化することが可能です。詳しくは次の情報を参照してください。

  * Securing dhcpd against unauthorised OMAPI control connections
   https://kb.isc.org/article/AA-01355/56/Securing-dhcpd-against-unauthorised-OMAPI-control-connections.html

  * What is DHCP Failover?
   https://kb.isc.org/article/AA-01356/56/What-is-DHCP-Failover.html

  * A Basic Guide to Configuring DHCP Failover
   https://kb.isc.org/article/AA-00502/31/A-Basic-Guide-to-Configuring-DHCP-Failover.html

[ファイルディスクリプタ数を制限することによってプロセスの同時接続数を制限する]
dhcpd を起動するシェルで ulimit を設定することで、プロセスの同時接続数を制限することが可能です。これにより INSIST failure によるサーバの停止を防ぐことが可能です。ただし、これだけではプロセス間通信ポートへの干渉は防げないことに注意してください。
ベンダ情報

ISC, Inc. オラクル
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 不適切な入力確認(CWE-20) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2016-2774
参考情報

  1. JVN : JVNVU#96567499
  2. National Vulnerability Database (NVD) : CVE-2016-2774
更新履歴

  • [2016年03月09日]
      掲載
    [2016年03月24日]
      参考情報:National Vulnerability Database (NVD) (CVE-2016-2774) を追加
      CWE による脆弱性タイプ一覧:CWE-ID を追加
    [2016年11月17日]
      ベンダ情報:オラクル (Oracle Solaris Third Party Bulletin - July 2016) を追加

公表日2016/03/08
登録日2016/03/09
最終更新日2016/11/17