ニュース

「BIND 9」に深刻な脆弱性、パッチバージョン公開

 Internet Systems Consortium(ISC)が開発・提供するDNSソフト「BIND 9」において、DoS攻撃が可能になる脆弱性(CVE-2015-8000)が見つかったとして、株式会社日本レジストリサービス(JPRS)などが16日、注意喚起を出した。BIND 9の運用者に対して、修正パッチの適用など適切な対応をとるよう強く推奨している。

 JPRSによれば、不正なDNS応答を拒否する処理に不具合があり、不正なクラスを持つ応答がキャッシュされることでnamedが異常終了を起こすという。キャッシュDNSサーバーの機能が有効に設定されているBIND 9の全バージョンが影響を受けることから、対象が広範囲にわたるとしている。一方、権威DNSサーバーではリスクは限定的だという。

 ISCでは、この脆弱性の深刻度を“重大(Critical)”とレーティング。これを修正したパッチバージョンとして、9.10系列の「9.10.3-P2」、9.9系列の「9.9.8-P2」を15日に公開している。

 同バージョンでは、これとは別の深刻度が“中(Medium)”の脆弱性(CVE-2015-8461)も修正している。

(永沢 茂)