CVE-2012-3571 [CN]: 对恶意请求的处理失当会导致 DHCP 服务器面临拒绝服务攻击

题目: 对恶意请求的处理失当会导致 DHCP 服务器面临拒绝服务攻击 CVE: CVE-2012-3571 文档版本: 2.0 发布日期: 2012 年 7 月 24 日 受影响软件: DHCP 软件版本: 所有版本(包括 4.2.x-Px) 4.2.4; 4.1-ESV 4.1-ESV-R5; 4.1.2, 4.1.2-P1 严重程度: 严重 可利用方式: 本地 - 从相邻网络 描述: 对恶意客户端的请求处理失当会导致使用受影响版本的 DHCP 服务器进入一种状 态: 新的客户端请求得不到处理,服务器将陷入死循环从而耗尽所有 CPU 可用资 源。 正常情况下, 该状况不会被触发,但是一个不兼容的或者恶意的客户端可以在对 使用受影响版本的服务器进行故意触发。为了进行这种攻击,攻击者必须能够对 DHCP 服务器发送请求。 影响: 引起服务器陷入死循环中,导致拒绝服务。注意:ISC DHCP 3.0.x 和 ISC DHCP 4.0.x 已经到达“生命终点”,并无进行该漏洞的测试。对易于遭受漏洞 CVE-2010-2156 影响的 DHCP 版本(包括 4.1.0 4.1.1-P1)可能会导致服务异 常中断,而不是陷入死循环。 CVSS 分值: 6.1 CVSS 评价基准: (AV:A/AC:L/Au:N/C:N/I:N/A:C) 更多关于 CVSS ( Common Vulnerability Scoring System)的信息请参考: http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2&vector=(AV:A/AC:L/Au:N/C:N/I:N/A:C) 工作环境: 无。 漏洞利用: 目前未知。 解决方案: 对系统升级到 DHCP 4.1-ESV-R6 或者 DHCP 4.2.4-P1 DHCP 4.2.4-P1 www.isc.org/downloads/all DHCP 4.1-ESV-R6 www.isc.org/downloads/all 致谢: Codenomicon CROSS 项目的 Markus Hietava 发现该漏洞, CERT-FI 漏洞 协调. 文档版本修订记录: 1.0 - 2012 年 7 月 3 日 阶段 1 发布通知 1.1 - 2012 年 7 月 13 日 阶段 1 保持(由于新 CVE 的添加和新的公开日期) 1.2 - 2012 年 7 月 23 日 阶段 2 和 3 发布 2.0 - 2012 年 7 月 24 日 阶段 4(公开)发布 问题咨询: 关于该公告的问题,请发信至 security-officer@isc.org ISC 安全漏洞公告政策:关于我们当前的安全通告政策的详情,请参见 https://www.isc.org/security-vulnerability-disclosure-policy 英语版本: https://kb.isc.org/article/AA-00712 日语版本: https://kb.isc.org/article/AA-00755 西班牙语版本: https://kb.isc.org/article/AA-00747 德语版本: https://kb.isc.org/article/AA-00739 免责声明: Internet Systems Consortium (ISC)基于“当前现状”原则发布该公告, 并不提供或暗示任何形式的担保。ISC 明确的拒绝承担有关该公告的任何担保, 包括但不限于: 任何默认的商品性能担保、专门的适用性、无潜在瑕疵、无侵权。 由于使用和利用该公告所造成的后果全部由用户自己承担。ISC 可能会随时更改 此公告,请以该公告 URL 提供的版本为准。

© 2001-2018 Internet Systems Consortium For assistance with problems and questions for which you have not been able to find an answer in our Knowledge Base, we recommend searching our community mailing list archives and/or posting your question there (you will need to register there first for your posts to be accepted). The bind-users and the dhcp-users lists particularly have a long-standing and active membership. ISC relies on the financial support of the community to fund the development of its open source software products. If you would like to support future product evolution and maintenance as well having peace of mind knowing that our team of experts are poised to provide you with individual technical assistance whenever you call upon them, then please consider our Professional Subscription Support services - details can be found on our main website.