CVE-2017-3145

Impact:: Important
Public Date:: 2018-01-16
CWE:: CWE-416

Bugzilla:: 1534812: CVE-2017-3145 bind: リゾルバーの不適切な fetch cleanup 手順により、named がクラッシュします。

アップストリームの再帰 fetch コンテキストにおいて BIND が内部で cleanup 操作を処理する課程で、サービス拒否につながる use-after-free 脆弱性が見つかりました。リモートの攻撃者はこの不具合を利用し、特別に細工した DNS リクエストによるアサーションエラーで、DNSSEC 検証リゾルバーとして機能している named を予期せず終了させることが可能です。

Find out more about CVE-2017-3145 from the MITRE CVE dictionary dictionary and NIST NVD.

CVSS v3 metrics

CVSS3 Base Score	7.5
CVSS3 Base Metrics	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Attack Vector	Network
Attack Complexity	Low
Privileges Required	None
User Interaction	None
Scope	Unchanged
Confidentiality	None
Integrity Impact	None
Availability Impact	High

Red Hat Security Errata

Platform	Errata	Release Date
Red Hat Enterprise Linux 6 (bind)	RHSA-2018:0101	2018-01-22
Red Hat Enterprise Linux 7 (bind)	RHSA-2018:0102	2018-01-22

Affected Packages State

Platform	Package	State
Red Hat Enterprise Linux 7	bind	影響あり
Red Hat Enterprise Linux 6	bind	影響あり
Red Hat Enterprise Linux 5	bind	調査中

Acknowledgements

Red Hat は、ISC がこの問題を報告してくださったことに感謝いたします。アップストリームでは、この脆弱性の最初の報告者である Jayachandran Palanisamy 氏 (Cygate AB) に感謝いたします。

External References

https://kb.isc.org/article/AA-01542

Last Modified 2018-01-31T23:25:08+00:00

Log in to Your Red Hat Account

Red Hat Account

Customer Portal

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

JBoss Development and Management

JBoss Integration and Automation

Mobile

Services

Tools

Red Hat Product Security Center

Security Updates

Resources

Customer Portal Community

Customer Events

Stories

Warning message