ニュース

「BIND 9」にサービス運用妨害の脆弱性、アップデートを

 Internet Systems Consortium(ISC)が提供するDNSソフト「BIND 9」において、TCPクライアントの同時接続数の制限を迂回され、システムリソースが過度に消費されてしまう脆弱性が存在するとして、JPCERTコーディネーションセンター(JPCERT/CC)や株式会社日本レジストリサービス(JPRS)などが注意を促している。

 この脆弱性(CVE-2019-6477)を悪用された場合、リモートからの攻撃によってシステムリソースを過度に消費し、結果としてnamedが一時的に停止したり、サービスの品質の低下が発生する可能性がある。ISCは、同脆弱性の深刻度を「Medium」と評価している。

 4月に公開された脆弱性(CVE-2018-5743)への対応により、TCPでの同時接続数を計算する方法が変更されている。この変更の影響によって「TCP-pipelining」を用いた複数のDNSトランザクションの並列処理において、TCPでの同時接続数の制限がバイパスされるようになった。

 ISCでは脆弱性を修正した「BIND 9.14.8」「同9.11.13」「同9.15.6」「同9.11.13-S1(BIND Supported Preview Edition)」をリリースしている。また、一時的な回避策として、「TCP-pipelining」を無効に設定することを挙げている。

 JPRSでは、同脆弱性がDNSの運用に与える影響が大きいとして、各ディストリビューションベンダーからリリースされる情報の収集やバージョンアップなど、適切な対応を速やかに取ることを強く推奨している。