当地时间6月22日,美国US-CERT宣布Internet Software Consortium(ISC)公开的DHCP服务器软件“ISC DHCP versions 3.0.1rc12/3.0.1rc13”存在安全漏洞。如果有人向它发送做了手脚的数据,就可能中止DHCP服务,或者执行任意程序。其对策是升级到最新版本“ISC DHCP 3.0.1rc14”。
此次公布的安全漏洞包括如下2种:
(1)Vulnerability Note VU#317350
ISC DHCP contains a stack buffer overflow vulnerability in handling log lines containing ASCII characters only
(2)Vulnerability Note VU#654390
ISC DHCP contains C Includes that define vsnprintf() to vsprintf() creating potential buffer overflow conditions
以上两种漏洞均为缓存溢出漏洞。如果向运行存在安全漏洞的ISC DHCP的服务器发送做了手脚的数据,DHCP服务器进程(dhcpd进程)就会发生缓存溢出。结果,就可能导致dhcpd进程崩溃,或者在dhcpd进程权限(一般为root)下运行任意程序。漏洞(1)影响所有OS,漏洞(2)只影响特定OS(Linux和HP-UX等)。
其对策是升级到修补了漏洞的ISC DHCP 3.0.1rc14。ISC强烈建议ISC DHCP versions 3.0.1rc12/3.0.1rc13用户升级到3.0.1rc14。