「BIND 9」に深刻な脆弱性、パッチバージョン公開

　Internet Systems Consortium（ISC）が開発・提供するDNSソフト「BIND 9」において、DoS攻撃が可能になる脆弱性（CVE-2015-8000）が見つかったとして、株式会社日本レジストリサービス（JPRS）などが16日、注意喚起を出した。BIND 9の運用者に対して、修正パッチの適用など適切な対応をとるよう強く推奨している。

　JPRSによれば、不正なDNS応答を拒否する処理に不具合があり、不正なクラスを持つ応答がキャッシュされることでnamedが異常終了を起こすという。キャッシュDNSサーバーの機能が有効に設定されているBIND 9の全バージョンが影響を受けることから、対象が広範囲にわたるとしている。一方、権威DNSサーバーではリスクは限定的だという。

　ISCでは、この脆弱性の深刻度を“重大（Critical）”とレーティング。これを修正したパッチバージョンとして、9.10系列の「9.10.3-P2」、9.9系列の「9.9.8-P2」を15日に公開している。

　同バージョンでは、これとは別の深刻度が“中（Medium）”の脆弱性（CVE-2015-8461）も修正している。