ニュース
「BIND 9」に脆弱性、リモートからDoS攻撃可能、ISCが修正バージョン公開
(2015/9/3 15:08)
Internet Systems Consortium(ISC)が開発・提供しているDNSソフト「BIND 9」にDoS攻撃が可能になる脆弱性(CVE-2015-5986)があるとして、株式会社日本レジストリサービス(JPRS)などが3日、注意喚起を出した。BIND 9の運用者に対して、修正済みバージョンへのアップデートなどの対応をとるよう呼び掛けている。
OPENPGPKEYリソースレコードの取り扱いにおける不具合が原因。不正なOPENPGPKEYリソースレコードを含む応答を受信した際に、namedが異常終了するとしている。OPENPGPKEYリソースレコードを設定・利用していない場合も対象になるという。キャッシュDNSサーバーがこの脆弱性の影響を受けるほか、特定条件下にある権威DNSサーバーへの攻撃も成功させることができたとISCでは発表している。
BINDでは、9.10.2/9.9.7以降のバージョンでOPENPGPKEYリソースレコードの取り扱いをサポートしており、脆弱性の影響を受けるバージョンは、9.10系列が9.10.2~9.10.2-P3、9.9系列が9.9.7~9.9.7-P2となる。
ISCでは、この脆弱性を修正したバージョン「9.10.2-P4」「9.9.7-P3」を公開した。
最新バージョンでは、これとは別の脆弱性(CVE-2015-5722)も修正されている。同じくnamedに対する外部からのDoS攻撃が可能になるというものだが、DNSSEC検証が有効に設定されている場合が対象となる。
ただし、こちらの脆弱性は9.0.0以降のすべてのバージョンが影響を受けるとしている。今回、修正バージョンが提供された9.10系列と9.9系列だけでなく、サポートがすでに終了し、パッチが提供されてないバージョン9.0.0~9.8.8でも影響を受けることになる。