米CERT/CCは米国時間5月8日,Internet Software Consortium(ISC)が提供するDHCPサーバー・ソフト(DHCPD)のセキュリティ・ホールを警告した。悪用されると,リモートからDHCPサーバー・マシン上で任意のコードを実行される恐れがある。影響を受けるのは,バージョン 3.0 から 3.0.1rc8まで。
対策は,パッチの適用か修正版のインストール。パッチのソース・コードはCERT/CCのサイトに,修正を施したDHCPパッケージ(DHCPサーバー,クライアント,リレー・エージェントを含む)のソース・コードがISCのサイトで公開されている。
また,DHCPをファイアウオールやルーターでフィルタリングすれば,外部からの攻撃を防ぐことができる。企業内で運用しているDHCPサーバーが,外部からアクセス可能になっていることはまずないだろうが,改めて確認したい。具体的には,TCPポートの67番と68番,UDPポートの67番と68番をふさぐ。
加えて,不要なDHCPサービスはすべてのマシンで停止にしたい。不要なサービスの停止は,セキュリティの“鉄則”である。
◎参考資料
◆Format String Vulnerability in ISC DHCPD(米CERT/CC)
◆ISC Dynamic Host Configuration Protocol (DHCP)(Internet Software Consortium)
(勝村 幸博=IT Pro)
