製品・ソフトウェアに関する情報

JVN脆弱性詳細

ISC BIND などの製品で使用される Microsoft Windows Server 2008 の Winsock WSAIoctl API における IP アドレス制限を回避される脆弱性

Title	ISC BIND などの製品で使用される Microsoft Windows Server 2008 の Winsock WSAIoctl API における IP アドレス制限を回避される脆弱性
Summary	ISC BIND およびその他の製品で使用される Microsoft Windows Server 2008 の Winsock WSAIoctl API は、ネットマスク 255.255.255.255 に対して SIO_GET_INTERFACE_LIST コマンドを適切にサポートしないため、IP アドレス制限を回避される脆弱性が存在します。
Possible impacts	第三者により、255.255.255.255 のネットマスクを 0.0.0.0 のネットマスクとして誤解釈することを利用されることで、IP アドレス制限を回避される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Nov. 5, 2013, midnight
Registration Date	Nov. 11, 2013, 11:52 a.m.
Last Update	Nov. 20, 2013, 6:06 p.m.

CVSS2.0 : 警告
Score	6.8
Vector	AV:N/AC:M/Au:N/C:P/I:P/A:P

Affected System

ISC, Inc.

BIND 9.6-ESV-R10-P1 未満の 9.6-ESV

BIND 9.8.6-P1 未満の 9.8

BIND 9.9.3-S1

BIND 9.9.4-P1 未満の 9.9

BIND 9.9.4-S1

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-6230	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6230
Knowledge Base
2	CVE-2013-6230: A Winsock API Bug Can Cause a Side-Effect Affecting BIND ACLs	https://kb.isc.org/article/AA-01062
3	CVE-2013-6230: FAQ and Supplemental Information	https://kb.isc.org/article/AA-01063
National Vulnerability Database (NVD)
4	CVE-2013-6230	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6230

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	Name	URL
DNSco
1	Subscriptions and Solutions	http://www.dns-co.com/solutions/

その他

No	Name	URL
JPRS
1	BIND 9.xの脆弱性（サービス提供者が意図しないアクセスの許可）について（2013年11月7日公開）	http://jprs.jp/tech/security/2013-11-07-bind9-vuln-winsock-netmask.html
2	DNS ソフトウェアアップデート情報	http://jprs.jp/tech/index.html#dns-software-update-info

Change Log

No	Changed Details	Date of change
0	[2013年11月11日] 掲載 [2013年11月20日] CVSS による深刻度：内容を更新	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2013-6230

Summary	The Winsock WSAIoctl API in Microsoft Windows Server 2008, as used in ISC BIND 9.6-ESV before 9.6-ESV-R10-P1, 9.8 before 9.8.6-P1, 9.9 before 9.9.4-P1, 9.9.3-S1, 9.9.4-S1, and other products, does not properly support the SIO_GET_INTERFACE_LIST command for netmask 255.255.255.255, which allows remote attackers to bypass intended IP address restrictions by leveraging misinterpretation of this netmask as a 0.0.0.0 netmask.
Publication Date	Nov. 8, 2013, 1:47 p.m.
Registration Date	Jan. 26, 2021, 3:47 p.m.
Last Update	Nov. 21, 2024, 10:58 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:isc:bind:9.9.3:p2::::::
cpe:2.3:a:isc:bind:9.8.4:::::::*
cpe:2.3:a:isc:bind:9.8.1:b2::::::
cpe:2.3:a:isc:bind:9.8.3:::::::*
cpe:2.3:a:isc:bind:9.9.0:rc2::::::
cpe:2.3:a:isc:bind:9.9.0:a3::::::
cpe:2.3:a:isc:bind:9.8.5:p1::::::
cpe:2.3:a:isc:bind:9.9.3:b1::::::
cpe:2.3:a:isc:bind:9.9.0:a1::::::
cpe:2.3:a:isc:bind:9.8.2:b1::::::
cpe:2.3:a:isc:bind:9.9.0:::::::*
cpe:2.3:a:isc:bind:9.8.1:::::::*
cpe:2.3:a:isc:bind:9.9.0:rc3::::::
cpe:2.3:a:isc:bind:9.9.0:a2::::::
cpe:2.3:a:isc:bind:9.8.3:p2::::::
cpe:2.3:a:isc:bind:9.8.0:a1::::::
cpe:2.3:a:isc:bind:9.8.0:p4::::::
cpe:2.3:a:isc:bind:9.9.3:rc1::::::
cpe:2.3:a:isc:bind:9.8.0:rc1::::::
cpe:2.3:a:isc:bind:9.9.4:b1::::::
cpe:2.3:a:isc:bind:9.8.2:rc1::::::
cpe:2.3:a:isc:bind:9.8.1:rc1::::::
cpe:2.3:a:isc:bind:9.8.1:b3::::::
cpe:2.3:a:isc:bind:9.9.0:b1::::::
cpe:2.3:a:isc:bind:9.8.0:p1::::::
cpe:2.3:a:isc:bind:9.9.1:p2::::::
cpe:2.3:a:isc:bind:9.8.6:b1::::::
cpe:2.3:a:isc:bind:9.8.2:rc2::::::
cpe:2.3:a:isc:bind:9.8.5:rc1::::::
cpe:2.3:a:isc:bind:9.9.3:::::::*
cpe:2.3:a:isc:bind:9.8.0:p2::::::
cpe:2.3:a:isc:bind:9.9.3:rc2::::::
cpe:2.3:a:isc:bind:9.9.3:p1::::::
cpe:2.3:a:isc:bind:9.8.1:b1::::::
cpe:2.3:a:isc:bind:9.8.5:b2::::::
cpe:2.3:a:isc:bind:9.8.5:::::::*
cpe:2.3:a:isc:bind:9.8.3:p1::::::
cpe:2.3:a:isc:bind:9.8.5:b1::::::
cpe:2.3:a:isc:bind:9.9.0:rc1::::::
cpe:2.3:a:isc:bind:9.9.1:::::::*
cpe:2.3:a:isc:bind:9.8.5:rc2::::::
cpe:2.3:a:isc:bind:9.9.0:b2::::::
cpe:2.3:a:isc:bind:9.8.0:b1::::::
cpe:2.3:a:isc:bind:9.8.1:p1::::::
cpe:2.3:a:isc:bind:9.8.5:p2::::::
cpe:2.3:a:isc:bind:9.8.0:::::::*
cpe:2.3:a:isc:bind:9.9.3:b2::::::
cpe:2.3:a:isc:bind:9.9.0:rc4::::::
cpe:2.3:a:isc:bind:9.9.1:p1::::::
cpe:2.3:a:isc:bind:9.9.2:::::::*
cpe:2.3:a:isc:bind:9.6:::::::*
cpe:2.3:a:isc:bind:9.6:r9_p1::::::
cpe:2.3:a:isc:bind:9.6:r7_p1::::::
cpe:2.3:a:isc:bind:9.6:r5_p1::::::
cpe:2.3:a:isc:bind:9.6:r7_p2::::::
cpe:2.3:a:isc:bind:9.6:r6_b1::::::
cpe:2.3:a:isc:bind:9.6:r6_rc2::::::
cpe:2.3:a:isc:bind:9.6:r6_rc1::::::

Related information, measures and tools

No	URL	タグ
1	http://www.slackware.com/security/viewer.php?l=slackware-security&y=2014&m=slackware-security.518391
2	http://www.slackware.com/security/viewer.php?l=slackware-security&y=2014&m=slackware-security.518391
3	https://kb.isc.org/article/AA-01062	Vendor Advisory
4	https://kb.isc.org/article/AA-01062	Vendor Advisory
5	https://kb.isc.org/article/AA-01063	Vendor Advisory
6	https://kb.isc.org/article/AA-01063	Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:isc:bind:9.9.3:p2::::::
cpe:2.3:a:isc:bind:9.8.4:::::::*
cpe:2.3:a:isc:bind:9.8.1:b2::::::
cpe:2.3:a:isc:bind:9.8.3:::::::*
cpe:2.3:a:isc:bind:9.9.0:rc2::::::
cpe:2.3:a:isc:bind:9.9.0:a3::::::
cpe:2.3:a:isc:bind:9.8.5:p1::::::
cpe:2.3:a:isc:bind:9.9.3:b1::::::
cpe:2.3:a:isc:bind:9.9.0:a1::::::
cpe:2.3:a:isc:bind:9.8.2:b1::::::
cpe:2.3:a:isc:bind:9.9.0:::::::*
cpe:2.3:a:isc:bind:9.8.1:::::::*
cpe:2.3:a:isc:bind:9.9.0:rc3::::::
cpe:2.3:a:isc:bind:9.9.0:a2::::::
cpe:2.3:a:isc:bind:9.8.3:p2::::::
cpe:2.3:a:isc:bind:9.8.0:a1::::::
cpe:2.3:a:isc:bind:9.8.0:p4::::::
cpe:2.3:a:isc:bind:9.9.3:rc1::::::
cpe:2.3:a:isc:bind:9.8.0:rc1::::::
cpe:2.3:a:isc:bind:9.9.4:b1::::::
cpe:2.3:a:isc:bind:9.8.2:rc1::::::
cpe:2.3:a:isc:bind:9.8.1:rc1::::::
cpe:2.3:a:isc:bind:9.8.1:b3::::::
cpe:2.3:a:isc:bind:9.9.0:b1::::::
cpe:2.3:a:isc:bind:9.8.0:p1::::::
cpe:2.3:a:isc:bind:9.9.1:p2::::::
cpe:2.3:a:isc:bind:9.8.6:b1::::::
cpe:2.3:a:isc:bind:9.8.2:rc2::::::
cpe:2.3:a:isc:bind:9.8.5:rc1::::::
cpe:2.3:a:isc:bind:9.9.3:::::::*
cpe:2.3:a:isc:bind:9.8.0:p2::::::
cpe:2.3:a:isc:bind:9.9.3:rc2::::::
cpe:2.3:a:isc:bind:9.9.3:p1::::::
cpe:2.3:a:isc:bind:9.8.1:b1::::::
cpe:2.3:a:isc:bind:9.8.5:b2::::::
cpe:2.3:a:isc:bind:9.8.5:::::::*
cpe:2.3:a:isc:bind:9.8.3:p1::::::
cpe:2.3:a:isc:bind:9.8.5:b1::::::
cpe:2.3:a:isc:bind:9.9.0:rc1::::::
cpe:2.3:a:isc:bind:9.9.1:::::::*
cpe:2.3:a:isc:bind:9.8.5:rc2::::::
cpe:2.3:a:isc:bind:9.9.0:b2::::::
cpe:2.3:a:isc:bind:9.8.0:b1::::::
cpe:2.3:a:isc:bind:9.8.1:p1::::::
cpe:2.3:a:isc:bind:9.8.5:p2::::::
cpe:2.3:a:isc:bind:9.8.0:::::::*
cpe:2.3:a:isc:bind:9.9.3:b2::::::
cpe:2.3:a:isc:bind:9.9.0:rc4::::::
cpe:2.3:a:isc:bind:9.9.1:p1::::::
cpe:2.3:a:isc:bind:9.9.2:::::::*
cpe:2.3:a:isc:bind:9.6:::::::*
cpe:2.3:a:isc:bind:9.6:r9_p1::::::
cpe:2.3:a:isc:bind:9.6:r7_p1::::::
cpe:2.3:a:isc:bind:9.6:r5_p1::::::
cpe:2.3:a:isc:bind:9.6:r7_p2::::::
cpe:2.3:a:isc:bind:9.6:r6_b1::::::
cpe:2.3:a:isc:bind:9.6:r6_rc2::::::
cpe:2.3:a:isc:bind:9.6:r6_rc1::::::