ニュース

DNSソフト「BIND 9.10.x」に危険度の高い脆弱性、管理者は速やかに更新を

 株式会社日本レジストリサービス(JPRS)は12日、DNSソフトウェア「BIND 9」の脆弱性について緊急の技術情報を公開した。BIND 9.10.xを利用している場合、サービス不能(DoS)攻撃を受ける可能性があるもので、脆弱性を修正したバージョンへの更新を呼び掛けている。

 脆弱性は、EDNS0のオプションの処理に不具合があり、特別に作成されたDNS問い合わせの処理において、namedが異常終了を起こす障害が発生するもの。この脆弱性により、DNSサービスの停止が発生する可能性がある。攻撃はリモートから可能で、キャッシュDNSサーバー、権威DNSサーバーの双方が対象となる。

 また、脆弱性はBIND 9に付属のDNSライブラリ内に存在するため、該当ライブラリを使用しているnamed以外のプログラムやアプリケーションも影響を及ぼす可能性がある。

 JPRSでは、この脆弱性は影響が大きく、キャッシュDNS/権威DNSの双方が対象となることから、該当システムの運用者は関連情報の収集やバージョンアップなど、適切な対応を速やかにとることを強く推奨するとしている。

 脆弱性の影響を受けるのは、BIND 9.10系列(9.10.0〜9.10.0-P1)。開発元のISC(Internet Systems Consortium)では、この脆弱性を修正したバージョン「BIND 9.10.0-P2」を公開している。

(三柳 英樹)