ニュース

「BIND 9」にまたDoS脆弱性、最新バージョンへの更新を~IIJでは乗り換えを推奨

 Internet Systems Consortium(ISC)が開発・提供するDNSソフト「BIND 9」において、サービス運用妨害(DoS)攻撃に悪用可能な3つの脆弱性があったとして、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)と株式会社日本レジストリサービス(JPRS)が13日、注意喚起を出した。最新バージョンへの更新が推奨されている。

 3件の脆弱性はいずれも、namedが異常終了を起こし、DNSサービスが停止する可能性があるもの。これにより、namedに対する外部からの攻撃でサービス妨害(DoS)が引き起こされる可能性がある。

 「CVE-2017-3137」の深刻度は“High”。DNS応答の処理における不具合により、CNAMEまたはDNAMEレコードが含まれる応答のanswerセクション内のレコードの順序が異常だった場合に障害が発生する。影響を受けるバージョンは「9.9.9-P6」「9.10.4-P6」「9.11.0-P3」。共通脆弱性評価システムCVSS v3のスコアは7.5。

 残る2つの脆弱性の深刻度はいずれも“Medium”。「CVE-2017-3136」は、AレコードからAAAAレコードを合成するための仕組みである「DNS64」を有効にし、なおかつ"break-dnssec yes;"オプションを設定している場合に障害が発生する。影響を受けるバージョンは「9.9.9-P6」以前、「9.10.4-P6」以前、「9.11.0-P3」以前。このほか、すでにサポートを終了している「9.8.8-P1」以前も影響を受ける。共通脆弱性評価システムCVSS v3のスコアは5.9。

 脆弱性「CVE-2017-3138」は、リモート制御のための制御チャンネルにおける入力処理に不具合があり、空の(null)コマンド文字列がnamedの制御チャンネルに送信された場合に障害が発生する。影響を受けるバージョンは「9.9.9」~「9.9.9-P7」、「9.10.4」~「9.10.4-P7」、「9.11.0-P4」以前。共通脆弱性評価システムCVSS v3のスコアは6.5。

 BIND 9におけるDoSに悪用可能な脆弱性は、今回公表された3件のほか、これまで2017年1月12日、2016年11月2日、10月21日、9月28日にも発見されている。株式会社インターネットイニシアティブ(IIJ)ネットワーク本部アプリケーションサービス部運用技術課の島村充氏は、2016年11月に開催された「IIJ Technical WEEK 2016」において、「即座に修正版を適用するには運用コストが高くなる。ほかのソフトウェア(権威DNSのnsdやキャッシュDNSのunboundなど)やアプライアンス、サービスに乗りかえるべき」としている。