2013年5月以前の「BIND 9」にDoS脆弱性、修正前のコードをベースにした製品に現在でも影響

　Internet Systems Consortium（ISC）が開発・提供するDNSソフト「BIND 9」において、サービス運用妨害（DoS）攻撃に悪用可能な脆弱性（CVE-2016-2848）があったとして、一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）や株式会社日本レジストリサービス（JPRS）、一般社団法人日本ネットワークインフォメーションセンター（JPNIC）が10日、注意喚起を出した。

　CVE-2016-2848は、namedで不正なオプションやセクションを処理する箇所に不具合があり、攻撃者が細工されたオプションを含むパケットをリモートから送信することで、namedを異常終了させ、「assertion failture（表明違反）」を引き起こすもので、DNSサービスが停止する可能性がある。ISCでは、脆弱性の深刻度を「高（High）」と評価している。共通脆弱性評価システム「CVSS v3」におけるスコアは7.5。

　脆弱性の影響を受けるのは、2013年5月以前にリリースされた「9.1.0～9.8.5rc1」と「9.9.0～9.9.3rc1」。すでにサポートが終了していて修正パッチがリリースされない9.8以前の系列も含まれる。権威DNSサーバーおよびキャッシュDNSサーバーのいずれもが対象となり、脆弱性の一時的な回避策は存在しない。

　ただし、ISCでは、2013年5月にリリースしたバージョンで、すでに脆弱性への対応を行っている（#3548)。このため、ISCが現在提供しているバージョンのBINDは脆弱性の影響を受けないが、#3548の修正が適用されるより前の時点のソースコードを取り込んで、独自にメンテナンスされている製品やディストリビューションでは、この脆弱性が修正されていない可能性があるとしている。

　JPCERT/CCによれば、#3548の修正が反映されているかどうかは、BINDのソースコードとともに配布されている「CHANGESファイル」で確認できるとのこと。CHANGESファイルを確認できない場合は、製品の提供元に確認することを推奨している。