JPCERT/CCは、TCPにDoS誘発の脆弱性が見つかったため、ベンダーの対応情報を確認するよう呼び掛けた。
JPCERT コーディネーションセンター(JPCERT/CC)は9月9日、TCPにサービス拒否(DoS)の誘発につながる脆弱性が見つかったとして、ベンダー製品の対応情報を確認するようユーザーに呼び掛けた。
この問題は、ウインドウサイズを細工した不正なパケットを処理する際の脆弱性に起因するもので、悪用された場合にリモートの攻撃者がDoS状態を誘発させることができてしまう。JPCERT/CCは多数のネットワーク機器やソフトウェア製品が影響を受ける可能性があるとして、ユーザーにベンダーの対応情報を随時確認するよう求めた。
米Microsoftは、同日公開した月例セキュリティ情報の「MS09-048」でこの問題に対処した。影響を受けるのはWindows 2000 SP4、Windows Server 2003 SP2、Windows Server 2008 RTM/SP2、Windows Vista SP1/SP2だが、Windows 2000 SP4では修正範囲が大規模になり、互換性を維持できなくなる恐れが生じたため、今後も含めて修正パッチは提供しないという。
Cisco SystemsもIOS SoftwareやIOS-XE Software、CatOS Softwareなどが影響を受けるとして、更新プログラムを公開した。Check Point Software Technologiesは、VPN-1 Power/UTM、Connectra、VPN-1 Power VSXなどのセキュリティ対策製品が影響を受けるとしており、各製品のホットフィックスを順次提供するとしている。
Red Hatは予想される攻撃が限定的なものだとして修正パッチの提供は予定しておらず、アドバイザリーを公開している。
Copyright © ITmedia, Inc. All Rights Reserved.