「BIND 9」の修正版公開、広範囲に影響する脆弱性も

DNSサーバソフト「BIND 9」で2件の脆弱性報告があり、1件は広範囲に影響する深刻なものという。

» 2016年01月20日 14時59分 公開
[ITmedia]

 DNSサーバソフト「BIND 9」でサービス妨害(DoS)につながる2件の脆弱性が報告され、開発元のInternet Systems Consortium(ISC)が修正版をリリースした。うち1件(CVE-2015-8704)はBIND 9.3.0以降の全バージョンに影響が及ぶとして早期の適用が呼び掛けられている。

 ISCや日本レジストリサービスによると、CVE-2015-8704の脆弱性は文字列のフォーマット処理の不具合に起因し、不正なレコードを受け取った際の内部処理によってnamedが異常終了してしまう可能性がある。既にサポートが終了したBIND 9.3.0〜9.8.8を含む全バージョンに影響する。

 もう1件の脆弱性(CVE-2015-8705)は、BIND 9.10.xにおいてOPT疑似リソースレコードとECSオプションをテキストフォーマットに変更する際の処理の不具合に起因する。debug loggingを有効にしている場合に影響を受けるとしている。

 修正版はBIND 9.9.8-P3および9.10.3-P3となる。CVE-2015-8704の修正はBIND 9.8.8以前のバージョンでは行われないため、該当バージョンのユーザーには最新版の適用が強く推奨されている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ