ニュース

「BIND 9」にリモートから悪用可能な複数の脆弱性

 Internet Systems Consortium(ISC)が提供するDNSソフト「BIND 9」に複数の脆弱性があるとして、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が注意を促している。

 BIND 9.14.0~9.14.6および開発版のBIND 9.15.0~9.15.4において、「mirror zoneデータの検証不備(CVE-2019-6475)」「QNAME minimization処理の不備によるサービス停止(CVE-2019-6476)」の2件の脆弱性が存在する。

 この脆弱性を悪用されるとリモートからの攻撃によって不正なDNSレコードが追加されたり、namedが異常終了する可能性がある。共通脆弱性評価システムCVSS v3のスコアはいずれも5.9。ISCは、この脆弱性の脅威度を“Medium”と評価している。

 この脆弱性を修正した最新バージョン「BIND 9.14.7」および「BIND 9.15.5(開発版)」はすでにリリースされている。

 また、一時的な回避策として、mirror zones機能を使用しないことや、QNAME minimizationを無効“disabled”にする(デフォルトでは有効“relaxed”)ことを挙げている。