ニュース

「BIND 9」全バージョンに深刻なDoS脆弱性、パケット1つでnamed異常終了

 Internet Systems Consortium(ISC)が開発・提供するDNSソフト「BIND 9」において、実装上の不具合により、サービス運用妨害(DoS)攻撃に悪用可能な脆弱性(CVE-2016-2776)があったとして、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)や株式会社日本レジストリサービス(JPRS)が28日、注意喚起を出した。この脆弱性を修正したバージョン「9.10.4-P3」「9.9.9-P3」がISCから27日にリリースされており、BIND 9の運用者に対して、これら修正済みバージョンへの更新または各ディストリビューションベンダーからリリースされる更新の適用を速やかに実施するよう推奨している。

 脆弱性の影響を受けるのは、下記のバージョン。「9.0.0」以降のすべてのバージョンが影響を受け、すでにサポートが終了していて修正パッチがリリースされない9.8以前の系列も含まれる。

・9.11系列:9.11.0a1~9.11.0rc1
・9.10系列:9.10.0~9.10.4-P2
・9.9系列:9.9.0~9.9.9-P2
・9.0系列~9.8系列:9.0.x~9.8.x

 また、JPRSによれば、特定の問い合わせパケットを外部から1つ送りつけるだけでnamedを異常終了させられること、キャッシュDNSサーバー/権威DNSサーバーの両方が対象になること、namedの設定ファイル(named.conf)によるアクセスコントロールや設定オプションの変更では影響を回避・軽減できないこと――などから、広い範囲での適切な緊急対策が必要になるとしている。

ISCのセキュリティアドバイザリのページ