ニュース

「BIND 9」にDoS攻撃を受ける可能性のある3件の脆弱性、修正パッチ公開

 Internet Systems Consortium(ISC)は、同社が開発・提供するDNSソフト「BIND 9」において、DoS攻撃が可能となってしまう3件の脆弱性(CVE-2016-1285、CVE-2016-1286、CVE-2016-2088)を修正するパッチを公開した。株式会社日本レジストリサービス(JPRS)などがパッチの早期適用を呼び掛けている。

 CVE-2016-1285は、BIND 9.2.0以降すべてのバージョンに影響する脆弱性。遠隔制御向け制御チャンネル(control channel)の入力処理に不具合があり、namedの制御チャンネルが不正なパケットを受け取った場合、namedが異常終了するというもの。ISCは深刻度を“High”とレーティングしている。

 CVE-2016-1286は、BIND 9.0.0以降すべてのバージョンに影響する脆弱性。DNAMEリソースレコードにおいて、特定の条件下のDNAMEに対する署名レコードの処理に不具合があり、署名レコードを含む応答を受け取るとnamedが異常終了してしまうというもの。ISCでは深刻度を“High”とレーティングしている。

 CVE-2016-2088は、BIND 9.10.0以降のすべてのバージョンが影響を受ける脆弱性だが、DNS cookie機能を有効にしている場合に限られる。該当バージョンのDNS cookieに不具合があり、複数のCookieオプションを含む不正なパケットを受け取るとnamedが異常終了してしまうという。ISCでは深刻度を“High”とレーティングしている。

 CVE-2016-1285とCVE-2016-1286の修正パッチは、ISCから「BIND 9.10.3-P4」「BIND 9.9.8-P4」が提供されており、JPRSでは「緊急」と位置付けてパッチの早期適用を呼び掛けている。また、CVE-2016-2088については、BIND 9.10.3-P4の適用で修正される。そのほか、BINDの各ディストリビューションベンダーからリリースされている修正パッチを確認する必要がある。

 なお、JPRSでは一時的な回避策として、CVE-2016-1285では、named.confのcontrolsステートメントにおいて、制御チャンネルへのアクセスを信頼できるシステムに制限することを挙げている。CVE-2016-2088では、BINDのコンパイル時に「--enable-sit」オプションを外し、DNS cookie機能を無効にすることで回避できるという。一方、CVE-2016-1286については一時的な回避策はないとしている。

(山川 晶之)