ニュース

「BIND 9」に脆弱性、リモートからDoS攻撃可能、ISCが修正バージョン公開

 Internet Systems Consortium(ISC)が開発・提供しているDNSソフト「BIND 9」にDoS攻撃が可能になる脆弱性(CVE-2015-5986)があるとして、株式会社日本レジストリサービス(JPRS)などが3日、注意喚起を出した。BIND 9の運用者に対して、修正済みバージョンへのアップデートなどの対応をとるよう呼び掛けている。

 OPENPGPKEYリソースレコードの取り扱いにおける不具合が原因。不正なOPENPGPKEYリソースレコードを含む応答を受信した際に、namedが異常終了するとしている。OPENPGPKEYリソースレコードを設定・利用していない場合も対象になるという。キャッシュDNSサーバーがこの脆弱性の影響を受けるほか、特定条件下にある権威DNSサーバーへの攻撃も成功させることができたとISCでは発表している。

 BINDでは、9.10.2/9.9.7以降のバージョンでOPENPGPKEYリソースレコードの取り扱いをサポートしており、脆弱性の影響を受けるバージョンは、9.10系列が9.10.2〜9.10.2-P3、9.9系列が9.9.7〜9.9.7-P2となる。

 ISCでは、この脆弱性を修正したバージョン「9.10.2-P4」「9.9.7-P3」を公開した。

 最新バージョンでは、これとは別の脆弱性(CVE-2015-5722)も修正されている。同じくnamedに対する外部からのDoS攻撃が可能になるというものだが、DNSSEC検証が有効に設定されている場合が対象となる。

 ただし、こちらの脆弱性は9.0.0以降のすべてのバージョンが影響を受けるとしている。今回、修正バージョンが提供された9.10系列と9.9系列だけでなく、サポートがすでに終了し、パッチが提供されてないバージョン9.0.0〜9.8.8でも影響を受けることになる。

(永沢 茂)