「BIND 9」にまたDoS脆弱性、最新バージョンへの更新を～IIJでは乗り換えを推奨

　Internet Systems Consortium（ISC）が開発・提供するDNSソフト「BIND 9」において、サービス運用妨害（DoS）攻撃に悪用可能な3つの脆弱性があったとして、一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）と株式会社日本レジストリサービス（JPRS）が13日、注意喚起を出した。最新バージョンへの更新が推奨されている。

　3件の脆弱性はいずれも、namedが異常終了を起こし、DNSサービスが停止する可能性があるもの。これにより、namedに対する外部からの攻撃でサービス妨害（DoS）が引き起こされる可能性がある。

　「CVE-2017-3137」の深刻度は“High”。DNS応答の処理における不具合により、CNAMEまたはDNAMEレコードが含まれる応答のanswerセクション内のレコードの順序が異常だった場合に障害が発生する。影響を受けるバージョンは「9.9.9-P6」「9.10.4-P6」「9.11.0-P3」。共通脆弱性評価システムCVSS v3のスコアは7.5。

　残る2つの脆弱性の深刻度はいずれも“Medium”。「CVE-2017-3136」は、AレコードからAAAAレコードを合成するための仕組みである「DNS64」を有効にし、なおかつ"break-dnssec yes;"オプションを設定している場合に障害が発生する。影響を受けるバージョンは「9.9.9-P6」以前、「9.10.4-P6」以前、「9.11.0-P3」以前。このほか、すでにサポートを終了している「9.8.8-P1」以前も影響を受ける。共通脆弱性評価システムCVSS v3のスコアは5.9。

　脆弱性「CVE-2017-3138」は、リモート制御のための制御チャンネルにおける入力処理に不具合があり、空の（null）コマンド文字列がnamedの制御チャンネルに送信された場合に障害が発生する。影響を受けるバージョンは「9.9.9」～「9.9.9-P7」、「9.10.4」～「9.10.4-P7」、「9.11.0-P4」以前。共通脆弱性評価システムCVSS v3のスコアは6.5。

　BIND 9におけるDoSに悪用可能な脆弱性は、今回公表された3件のほか、これまで2017年1月12日、2016年11月2日、10月21日、9月28日にも発見されている。株式会社インターネットイニシアティブ（IIJ）ネットワーク本部アプリケーションサービス部運用技術課の島村充氏は、2016年11月に開催された「IIJ Technical WEEK 2016」において、「即座に修正版を適用するには運用コストが高くなる。ほかのソフトウェア（権威DNSのnsdやキャッシュDNSのunboundなど）やアプライアンス、サービスに乗りかえるべき」としている。