「BIND 9」にDoS脆弱性、全バージョンのキャッシュDNSサーバーが対象

　Internet Systems Consortium（ISC）が開発・提供するDNSソフト「BIND 9」において、サービス運用妨害（DoS）攻撃に悪用可能な脆弱性（CVE-2016-8864）があったとして、一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）や株式会社日本レジストリサービス（JPRS）、一般社団法人日本ネットワークインフォメーションセンター（JPNIC）が2日、注意喚起を出した。修正済みバージョンへの更新または各ディストリビューションベンダーからリリースされる更新を速やかに実施することを推奨している。

　CVE-2016-8864は、DNS応答の処理における不具合により、DNAMEレコードがanswer secionに含まれる応答を処理する際に、namedが異常終了するもの。これによりDNSサービスが停止する可能性がある。攻撃はリモートからも実行可能で、ISCでは脆弱性の深刻度を「高（High）」と評価している。共通脆弱性評価システムCVSS v3による脆弱性評価は7.5ポイント。

　脆弱性によるnamedの異常終了時には、エラーが発生したソースコードの箇所により、下記のエラーメッセージがログに出力される。

・resolver.cの場合
"INSIST((valoptions & 0x0002U) != 0) failed"

・db.cの場合
"REQUIRE(targetp != ((void *)0) && *targetp == ((void *)0)) failed"

　脆弱性の影響を受けるのは、フルリゾルバー（キャッシュDNSサーバー）の機能が有効に設定されている下記のバージョン。すでにサポートが終了していて修正パッチがリリースされない9.8以前の系列を含む「9.0.0」以降すべてのバージョンが影響を受ける。

・9.11系列：9.11.0
・9.10系列：9.10.0～9.10.4-P3
・9.9系列：9.9.0～9.9.9-P3
・9.0系列～9.8系列：9.0.x～9.8.x

　ISCによれば、権威DNSサーバーでの影響は微小（minimal）とされている。なお、脆弱性の一時的な回避策は存在しない。

　BIND 9が含まれるLinuxディストリビューションを提供しているUbuntuとDebianでも、この脆弱性に関する情報を公開している。

　BIND 9におけるサービス運用妨害（DoS）攻撃に悪用可能な脆弱性は、今回公表されたCVE-2016-8864とは別に、9月28日（CVE-2016-2776）と10月21日（CVE-2016-2848）にも発見されており、CVE-2016-2776については警察庁により攻撃活動が観測されている。