TCPにDoS誘発の脆弱性、ベンダー情報の確認を
JPCERT/CCは、TCPにDoS誘発の脆弱性が見つかったため、ベンダーの対応情報を確認するよう呼び掛けた。
JPCERT コーディネーションセンター(JPCERT/CC)は9月9日、TCPにサービス拒否(DoS)の誘発につながる脆弱性が見つかったとして、ベンダー製品の対応情報を確認するようユーザーに呼び掛けた。
この問題は、ウインドウサイズを細工した不正なパケットを処理する際の脆弱性に起因するもので、悪用された場合にリモートの攻撃者がDoS状態を誘発させることができてしまう。JPCERT/CCは多数のネットワーク機器やソフトウェア製品が影響を受ける可能性があるとして、ユーザーにベンダーの対応情報を随時確認するよう求めた。
米Microsoftは、同日公開した月例セキュリティ情報の「MS09-048」でこの問題に対処した。影響を受けるのはWindows 2000 SP4、Windows Server 2003 SP2、Windows Server 2008 RTM/SP2、Windows Vista SP1/SP2だが、Windows 2000 SP4では修正範囲が大規模になり、互換性を維持できなくなる恐れが生じたため、今後も含めて修正パッチは提供しないという。
Cisco SystemsもIOS SoftwareやIOS-XE Software、CatOS Softwareなどが影響を受けるとして、更新プログラムを公開した。Check Point Software Technologiesは、VPN-1 Power/UTM、Connectra、VPN-1 Power VSXなどのセキュリティ対策製品が影響を受けるとしており、各製品のホットフィックスを順次提供するとしている。
Red Hatは予想される攻撃が限定的なものだとして修正パッチの提供は予定しておらず、アドバイザリーを公開している。
関連記事
「緊急」5件のMS月例パッチが公開、Windowsの脆弱性を解決
今月は5件ともWindows関連の脆弱性を解決しているが、Windows 2000ではパッチ提供が見送られた脆弱性もあり、注意が必要だ。- CiscoがTCPプロトコルの脆弱性に対処、IOSやLinksys製品に影響
Ciscoはソフトウェアアップデートを公開し、DoSの脆弱性に対処した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
ITmediaはアイティメディア株式会社の登録商標です。