「BIND 9」に脆弱性、リモートからDoS攻撃可能、ISCが修正バージョン公開

　Internet Systems Consortium（ISC）が開発・提供しているDNSソフト「BIND 9」にDoS攻撃が可能になる脆弱性（CVE-2015-5986）があるとして、株式会社日本レジストリサービス（JPRS）などが3日、注意喚起を出した。BIND 9の運用者に対して、修正済みバージョンへのアップデートなどの対応をとるよう呼び掛けている。

　OPENPGPKEYリソースレコードの取り扱いにおける不具合が原因。不正なOPENPGPKEYリソースレコードを含む応答を受信した際に、namedが異常終了するとしている。OPENPGPKEYリソースレコードを設定・利用していない場合も対象になるという。キャッシュDNSサーバーがこの脆弱性の影響を受けるほか、特定条件下にある権威DNSサーバーへの攻撃も成功させることができたとISCでは発表している。

　BINDでは、9.10.2/9.9.7以降のバージョンでOPENPGPKEYリソースレコードの取り扱いをサポートしており、脆弱性の影響を受けるバージョンは、9.10系列が9.10.2～9.10.2-P3、9.9系列が9.9.7～9.9.7-P2となる。

　ISCでは、この脆弱性を修正したバージョン「9.10.2-P4」「9.9.7-P3」を公開した。

　最新バージョンでは、これとは別の脆弱性（CVE-2015-5722）も修正されている。同じくnamedに対する外部からのDoS攻撃が可能になるというものだが、DNSSEC検証が有効に設定されている場合が対象となる。

　ただし、こちらの脆弱性は9.0.0以降のすべてのバージョンが影響を受けるとしている。今回、修正バージョンが提供された9.10系列と9.9系列だけでなく、サポートがすでに終了し、パッチが提供されてないバージョン9.0.0～9.8.8でも影響を受けることになる。