Hitach Incident Response Team

 6月5日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

NTP 4.2.8p8リリース(2016/06/02)

 NTP 4.2.8p8では、認証失敗時のメッセージCRYPTO_NAK処理におけるサービス拒否攻撃を許してしまう脆弱性(CVE-2016-4957)、CRYPTO_NAKメッセージに関連し、不正なパケットにより時刻同期の妨害を許してしまう脆弱性(CVE-2016-4953、CVE-2016-4954、CVE-2016-4955)、ブロードキャストクライアントのインターリーブモードへの強制的な切り替えを許してしまう脆弱性(CVE-2016-4956)、計5件の脆弱性を解決しています。インターリーブモードに切り替えられてしまうと、以前に連携していたサーバーからのパケットを拒否するため、時刻同期の妨害をしやすい状態を作り出すことができます。

BIND 9.10.4-P1、9.9.9-P1リリース(2016/06/02)

 BIND 9.10.4-P1、9.9.9-P1は、バグの修正を目的としたリリースです。いずれのバージョンも、Windows環境で発生するインストール失敗に関する不具合、DNS Red-Black Tree処理での競合に関する不具合を修正しています。

米シスコ製品

■NTPの脆弱性への対応(2016/06/03)

 ソーシャルメディア系、ネットワーク管理系、ルーターならびにスイッチ系、音声ならびにビデオ会議系、無線製品には、NTP 4.2.8p8で解決した、サービス拒否攻撃を許してしまう脆弱性など計5件の脆弱性が存在します。