FreeBSD Daily Topics

2013年4月9日bindとopensslにセキュリティアドバイザリ

security

次の2つのセキュリティアドバイザリが発表されました。

BIND remote denial of service

named(8)が利用しているライブラリにバグがあり、外部から特定の文字列でアクセスされると、named(8)が大量のメモリを消費し、最終的にクラッシュするというバグがあることが明らかにされました。この問題はlibdnsに存在しているため、named(8)のみならず、libdnsをリンクして使っているdig(1)などのほかのソフトウェアにも影響があります。

問題を一時的に回避する方法はないとされており、セキュリティ脆弱性が修正された最新版へのアップグレードが推奨されています。

OpenSSL multiple vulnerabilities

OCSPレスポンス検証の処理に問題がありDoS攻撃に繋がる脆弱性が発見されたことと、SSL/TLS/DTLSのCBC CipherSuiteの処理に脆弱性があり場合によってはプレーンテキストが取得される危険性があることが発見されました。

こちらの問題についても、問題を一時的に回避する方法はないとされており、セキュリティ脆弱性が修正された最新版へのアップグレードが推奨されています。

おすすめ記事

記事・ニュース一覧