CVE-2012-3954 [CN]: ISC DHCP 内存泄露漏洞

题目: ISC DHCP 内存泄露漏洞 摘要: 日前,两个内存泄露的漏洞在 ISC DHCP 程序中被发现,并且已经修复。两 处漏洞都是在运行 DHCPv6 模式的时候可能发生内存泄露的。其中一处错误被证 实只能影响那些运行 DHCPv6 模式的服务器, 而另一处错误, 根据源代码分析(尚 未经实验证实),也可能影响运行 DHCPv4 的服务器。 CVE: CVE-2012-3954 文档版本: 2.0 发布日期: 2012 年 7 月 24 日 受影响软件: ISC DHCP 4 软件版本: 4.1.x 和 4.2.x 严重程度: 中级 可利用方式: 本地,从网络发给 DHCP 服务器的请求报文。 描述: ISC 发现并修复了两个存在于 DHCP 程序代码中的可能引起内存泄露的漏洞。 其中一个漏洞只能影响运行在 DHCPv6 模式的服务器。另一个漏洞被证明可以影 响运行在 DHCPv6 模式的服务器,但是也有影响 DHCPv4 模式下服务器的潜在危险。 在上述两种场景下, 服务器都可能在处理消息的时候发生一小块内存的泄露。这 种泄露在每次迭代查询发生的时候数据规模非常小, 并且在大部分情况下不会引 起运行问题。然而,在长时间不重启保持着运行的服务器,或者处理特大流量的 服务器上面,这种内存泄露可能会消耗掉所有可用的内存资源,影响 DHCP 服务 的持续处理能力,并且可能会影响其他部署在同一服务器硬件上的其他服务。 CVSS 分值: 3.3 CVSS 评价基准: (AV:A/AC:L/Au:N/C:N/I:N/A:P) 更多关于 CVSS ( Common Vulnerability Scoring System)的信息请参考: http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2&vector=(AV:A/AC:L/Au:N/C:N/I:N/A:P) 工作环境: 无。 解决方案: 升级软件至 ISC DHCP 4.1-ESV-R6 or 4.2.4-P1 www.isc.org/downloads/all 漏洞利用: 目前未知。 致谢: ISC 感谢来自新西兰梅西大学的 Glen Eustace 文档修订记录: 1.0 - 2012 年 7 月 11 日 阶段 1 联系 1.1 - 2012 年 7 月 17 日 阶段 1 再次发布 1.2 - 2012 年 7 月 23 日 阶段 2 和 3 发布 2.0 - 2012 年 7 月 24 日 阶段 4(公开)发布 相关文档: 英语原版: https://kb.isc.org/article/AA-00737 日语版本: https://kb.isc.org/article/AA-00754 西班牙语版本: https://kb.isc.org/article/AA-00749 问题咨询: 关于该公告的问题,请发信至 security-officer@isc.org 该安全公告也可以在我们的 KnowledgeBase 里找到: https://kb.isc.org/article/AA-00698 完整的安全漏洞及影响版本列表,请参考 BIND Security Matrix: http://www.isc.org/software/bind/security/matrix 注意: ISC 只负责对当前支持版本 (http://www.isc.org/software/bind/versions)进行更新。 ISC 安全漏洞公告政策: 关于我们当前的安全通告政策的详情,请参见 https://www.isc.org/security-vulnerability-disclosure-policy 免责声明: Internet Systems Consortium (ISC)基于“当前现状”原则发布该公告, 并不提供或暗示任何形式的担保。ISC 明确的拒绝承担有关该公告的任何担保, 包括但不限于: 任何默认的商品性能担保、专门的适用性、无潜在瑕疵、无侵权。 由于使用和利用该公告所造成的后果全部由用户自己承担。ISC 可能会随时更改 此公告,请以该公告 URL 提供的版本为准。

© 2001-2018 Internet Systems Consortium For assistance with problems and questions for which you have not been able to find an answer in our Knowledge Base, we recommend searching our community mailing list archives and/or posting your question there (you will need to register there first for your posts to be accepted). The bind-users and the dhcp-users lists particularly have a long-standing and active membership. ISC relies on the financial support of the community to fund the development of its open source software products. If you would like to support future product evolution and maintenance as well having peace of mind knowing that our team of experts are poised to provide you with individual technical assistance whenever you call upon them, then please consider our Professional Subscription Support services - details can be found on our main website.