掲載番号:NV20-006
脆弱性情報識別番号:JVNVU#99700555

概要

任意のコード実行が可能 - CVE-2020-8597
・入力サイズの検証不備により、バッファオーバーフローの脆弱性が存在しています。
・細工された EAP パケットを処理することで、任意のコードを実行されたり、サービス運用妨害 (DoS) 攻撃を受けたりする可能性があります。
・EAP の設定を無効にしている場合も本脆弱性の影響を受ける可能性があります。
・ppp 2.4.2 から 2.4.8におけるpppdのeap.cが影響を受けます。

対象製品

エッジゲートウェイ

影響の有無

影響あり

対象となる製品のバージョン

(1)20170824110000
(1)20181219082559

(2)20191220082721

対処方法

(1)の場合
pppパッケージを「2.4.6-3.1+deb8u1」にアップデートしてください。

(2)の場合
pppパッケージを「2.4.7-1+4+deb9u1」にアップデートしてください。

参考情報

Japan Vulnerability Notes
https://jvn.jp/vu/JVNVU99700555/

CERT/CC
https://kb.cert.org/vuls/id/782301/

CVE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8597

pppd
https://github.com/paulusmack/ppp/commit/8d7970b8f3db727fe798b65f3377fe6787575426

lwip
https://git.savannah.nongnu.org/cgit/lwip.git/commit/?id=2ee3cbe69c6d2805e64e7cac2a1c1706e49ffd86

Debian
https://lists.debian.org/debian-lts-announce/2020/02/msg00005.html

更新情報