ニュース

「BIND 9」に致命的な脆弱性、修正バージョンの適用など対応が必要

 DNSソフトウェア「BIND 9」にDoS攻撃が可能な脆弱性が見つかったとして、開発元であるISC(Internet Systems Consortium)が26日、回避策などのセキュリティ情報を公開するとともに、修正バージョンの提供を開始した。

 脆弱性の影響を受けるバージョンは、9.7系列のすべてのバージョン(9.7.x)、9.8系列が「9.8.0~9.8.5b1」、9.9系列が「9.9.0~9.9.3b1」。権威DNSサーバー、キャッシュDNSサーバーともに対象となる。

 ただし、いずれもUnix版のみであり、Windows版は影響を受けない。また、「9.6-ESV」を含む9.7.0未満のバージョンと「BIND 10」も影響を受けない。

 今回見つかった脆弱性は、libdnsの実装上の問題が原因。同ライブラリを利用するnamedにおいて、不正に細工された正規表現により過度のメモリ消費が引き起こされ、BIND 9がクラッシュする可能性がある。また、digなどのlibdnsを使用しているツール類にも影響が及ぶとしており、namedを使用していない場合でも対応が必要だという。

 解決策としては、9.8/9.9系列に対しては、脆弱性を修正したバージョン「9.8.4-P2」と「9.9.2-P2」が公開されており、これにアップデートするか、各ディストリビューションベンダーからリリースされるパッチを適用することになる。

 このほか一時的な回避策として、正規表現サポートを除外してBIND 9のソースコードから再コンパイル/インストールする方法を挙げている。

 9.7系列はISCによるサポートがすでに終了しており、修正バージョンは用意されていないが、この回避策は9.7系列に対しても有効だという。

 なお、ISCでは、現在のところ攻撃事例は確認されていないとしている。

 ISCの発表を受けて社団法人日本ネットワークインフォメーションセンター(JPNIC)や株式会社日本レジストリサービス(JPRS)も27日、それぞれ脆弱性についてアナウンス。致命的で深刻な脆弱性であり、影響が大きいとして、BIND 9のDNSサーバーを運用している管理者に情報収集と対応を呼び掛けている。

(永沢 茂)