BINDにDoS攻撃の可能性がある脆弱性、修正版へのアップデートを


 株式会社日本レジストリサービス(JPRS)は23日、DNSサーバーソフトとして広く用いられている「BIND」に脆弱性が発見されたとして、サーバー管理者に対して早急にアップデートを行うよう呼びかけた。

 脆弱性の存在が確認されたのは、BINDの9.7.1から9.7.2-P3までのバージョン。実装上の不具合により、ゾーン情報の更新に差分転送(IXFR)またはDynamic Update機能を使用している場合に、ゾーン情報の更新中に特定のタイミングでDNS問い合わせを受信した際にデッドロックが発生し、それ以降の処理が停止する問題が発生する。これにより、外部からサービス運用妨害(DoS)攻撃を受ける可能性がある。

 BINDの開発元であるISCでは、この脆弱性を修正したバージョンを公開しており、JPRSではBIND 9.7.3へのバージョンアップを強く推奨している。また、BIND 9.7以前のバージョンや、BIND 9.8についてはこの脆弱性の影響は受けないという。


関連情報

(三柳 英樹)

2011/2/24 11:49