「BIND 9」にサービス運用妨害の脆弱性、アップデートを

　Internet Systems Consortium（ISC）が提供するDNSソフト「BIND 9」において、TCPクライアントの同時接続数の制限を迂回され、システムリソースが過度に消費されてしまう脆弱性が存在するとして、JPCERTコーディネーションセンター（JPCERT/CC）や株式会社日本レジストリサービス（JPRS）などが注意を促している。

　この脆弱性（CVE-2019-6477）を悪用された場合、リモートからの攻撃によってシステムリソースを過度に消費し、結果としてnamedが一時的に停止したり、サービスの品質の低下が発生する可能性がある。ISCは、同脆弱性の深刻度を「Medium」と評価している。

　4月に公開された脆弱性（CVE-2018-5743）への対応により、TCPでの同時接続数を計算する方法が変更されている。この変更の影響によって「TCP-pipelining」を用いた複数のDNSトランザクションの並列処理において、TCPでの同時接続数の制限がバイパスされるようになった。

　ISCでは脆弱性を修正した「BIND 9.14.8」「同9.11.13」「同9.15.6」「同9.11.13-S1（BIND Supported Preview Edition）」をリリースしている。また、一時的な回避策として、「TCP-pipelining」を無効に設定することを挙げている。

　JPRSでは、同脆弱性がDNSの運用に与える影響が大きいとして、各ディストリビューションベンダーからリリースされる情報の収集やバージョンアップなど、適切な対応を速やかに取ることを強く推奨している。