ニュース

「BIND 9」にサービス運用妨害の脆弱性、最新版へのアップデートを呼び掛け

 Internet Systems Consortium(ISC)が提供するDNSソフト「BIND 9」において、TLSセッションが早期に切断された場合にアサーションエラーが発生する、サービス運用妨害の脆弱性(CVE-2022-1108)が存在するとして、株式会社日本レジストリサービス(JPRS)やJVN(Japan Vulnerability Notes)が情報を公開した。

 脆弱性の深刻度は「High」。影響を受けるバージョンはBIND 9.18.0~9.18.2および、BIND 9.19.0(BIND 9.19開発用ブランチ)。脆弱性を修正したBIND 9.18.3およびBIND 9.19.1(開発用)が公開済みで、対策としてアップデートが呼び掛けられている。

 この脆弱性は、BIND 9.18系列のnamedにおいて、DNS over HTTPSでの接続を有効にしている場合にのみ発生する。TLSセッションが早期に切断されるとnamedが異常終了することがあり、その際には、アサーションエラー(assertion failure)が発生した旨のメッセージがログに出力される。