BIND 9に脆弱性、DoS攻撃も発生
DNSサーバソフト「BIND 9」の脆弱性を突いたDoS攻撃が発生し、開発元のISCは修正パッチを公開して、できるだけ早期の適用を呼び掛けた。
DNSサーバソフト「BIND 9」に危険度の高い脆弱性が見つかり、開発元のInternet Systems Consortium(ISC)が修正のためのパッチをリリースした。この問題を突いたサービス妨害(DoS)攻撃が発生していることから、ISCではできるだけ早期にパッチを適用するよう呼び掛けている。
ISCやUS-CERTのアドバイザリーによると、脆弱性はBIND 9のDynamic Update機能に存在する。ただし、Dynamic Updateを無効にしている場合でも影響を受けるという。悪用された場合、細工を施したDynamic UpdateパケットをBIND 9サーバに送りつけることにより、リモートの認証を受けない攻撃者がDoS攻撃を仕掛けられるようになる。
SANS Internet Storm Centerは、この問題を突いたコンセプト実証(PoC)コードが公開されたのに続いて、実際のDoS攻撃も発生し、攻撃を実行するためのスクリプトも出回っていると伝えた。
US-CERTの脆弱性情報によれば、FreeBSD、OpenBSD、Ubuntuなどがこの脆弱性の影響を受けることが確認された。ほかにも未確認ながら、影響を受ける可能性のあるベンダー名が多数記載されている。
ISCはBINDのバージョン9.4.3-P3、9.5.1-P3、9.6.1-P1でこの問題を解決した。パッチを適用せずに攻撃を回避できる方法は存在しないとしている。
関連記事
ISC、BIND 10の開発に着手
DNSサーバソフトの次世代バージョンとなる「BIND 10」の開発計画が発表された。
BINDのセキュリティパッチ公開
BIND 9.5.1-P2と9.4.3-P2では、DNSSEC lookaside validation(DLV)に存在するバグを修正した。
BIND 9のアップデート公開、DNSポイズニング問題に対処
ISCはBIND 9のアップデート版となる「BIND 9.6.0-P1」を公開した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
ITmediaはアイティメディア株式会社の登録商標です。