ニュース

「BIND 9」に脆弱性、9.3.0以降の全バージョンに影響

 Internet Systems Consortium(ISC)が開発・提供するDNSソフト「BIND 9」において、DoS攻撃が可能になる脆弱性(CVE-2015-8704)が見つかったとして、株式会社日本レジストリサービス(JPRS)などが20日、注意喚起を出した。

 文字列のフォーマット処理に不具合があり、不正なレコードを受け取った際の内部処理においてnamedが異常終了を起こすというもの。遠隔からのDoS攻撃に悪用される可能性がある。

 ISCでは、深刻度を“高(High)”とレーティング。これを修正したパッチバージョンとして、9.10系列の「9.10.3-P3」、9.9系列の「9.9.8-P3」を19日に公開している。

 脆弱性はバージョン「9.3.0」以降のすべてのバージョンに影響し、キャッシュDNSサーバーサーバー(フルリゾルバー)と権威DNSサーバーの両方が対象となることから、JPRSでは、BIND 9の運用者に対してバージョンアップを強く推奨。パッチバージョンへの更新あるいは各ディストリビューションベンダーからリリースされるパッチの適用を速やかに行うよう呼び掛けている。

 なお、ISCでは「9.8」以前のバージョンはサポートを終了しており、パッチバージョンはリリースされない。

ISCのセキュリティアドバイザリのページ

 9.10系列については、これとは別のDoS攻撃が可能になる脆弱性(CVE-2015-8705)もあり、同じく9.10.3-P3で修正している。こちらはdebug loggingを有効にしている場合にnamedが異常終了を起こすというもので、深刻度は“中(Medium)”。

(永沢 茂)