「pppd」に、EAPに起因する任意コード実行の脆弱性(JVN) | ScanNetSecurity
2024.04.19(金)

「pppd」に、EAPに起因する任意コード実行の脆弱性(JVN)

IPAおよびJPCERT/CCは、Paul's PPP Packageの「pppd」にバッファオーバーフローの脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
facebookLINE
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は3月5日、Paul's PPP Packageの「pppd」にバッファオーバーフローの脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。PPPは、ダイヤルアップでのインターネット接続に用いられるプロトコル。

「pppd 2.4.2 から 2.4.8 まで」には、EAPパケットの処理時に入力データのサイズを適切に検証していないことに起因するバッファオーバーフローの脆弱性(CVE-2020-8597)が存在する。この脆弱性が悪用されると、細工されたEAPパケットを処理することで、任意のコードを実行されたり、サービス運用妨害(DoS)攻撃を受けたりする可能性がある。なお、関数にも不備があり、EAPを無効にしていてもEAPパケットを受け付けてしまう可能性があるという。

JVNでは、pppd開発者により提供されている修正パッチ、およびEAPを有効にしたIwIP向けの修正パッチを適用するよう呼びかけている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

関連リンク

特集

PageTop

アクセスランキング

  1. 東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

    東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

  2. 転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し

    転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し

  3. 「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

    「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

  4. バッファロー製無線 LAN ルータに複数の脆弱性

    バッファロー製無線 LAN ルータに複数の脆弱性

  5. Windows DNS の脆弱性情報が公開

    Windows DNS の脆弱性情報が公開

  6. プルーフポイント、マルウェア配布する YouTube チャンネル特定

    プルーフポイント、マルウェア配布する YouTube チャンネル特定

  7. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  8. セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向

    セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向

  9. フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず

    フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず

  10. インフォマート 公式 Facebook ページに不正ログイン

    インフォマート 公式 Facebook ページに不正ログイン

ランキングをもっと見る
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP