「BIND 9.x」Windows版に脆弱性、意図しない設定でオープンリゾルバーにも

　株式会社日本レジストリサービス（JPRS）は7日、DNSサーバーソフト「BIND 9.x」のWindows版において、意図しないアクセスコントロール設定がなされる脆弱性が見つかったとして注意喚起した。運用者に対して、バージョンアップなどの対処をするよう呼び掛けている。

　この脆弱性は、WindowsのWinsockライブラリの挙動と組み合わされて発生するもので、特定の条件下において、BINDのアクセスコントロールリストが誤設定されるというものだ。意図せずにすべてのIPv4アドレスからのアクセスが許可された状態になるという。その結果、オープンリゾルバー状態となってしまい、DNSリフレクター攻撃の踏み台として悪用される可能性があるほか、データ流出やデータ改ざんが発生する可能性もあるとしている。

　なお、Unix上で動作するBINDや後継バージョンの「BIND 10」は、この脆弱性の対象外となっている。