「BIND 9」にDoS攻撃を許す脆弱性、パッチ適用呼び掛け

「BIND 9」開発元のISCによる脆弱性情報ページ

　日本レジストリサービス（JPRS）は29日、DNSサーバーソフト「BIND 9」に実装しているDynamic Update機能に、リモートからのDoS攻撃が可能になる脆弱性があるとして注意喚起した。開発元のISCおよび各ディストリビューションベンダーからパッチが公開されたとして、運用者に対して早急にパッチを適用するよう求めている。

　この脆弱性では、特定のDynamic Updateパケットを作成・送信することで、DNSサーバーをリモートから停止させることが可能だという。設定ファイル「named.conf」においてプライマリサーバー（master）の設定をしている場合に該当し、Dynamic Update機能を有効に設定していない場合でも影響を受けるとしている。

　ISCによると、影響を受けるのは「BIND 9」のすべてのバージョンで、危険度は“高”とレーティング。すでに攻撃コードも広く出回っているという。