BIND 9.7.1〜9.7.2-P3にサービス妨害(DoS)の脆弱性が存在する。
米Internet Systems Consortium(ISC)は、DNSサーバソフト「BIND」に脆弱性が見つかったとして、2月22日付でアドバイザリーを公開した。
アドバイザリーによると、脆弱性はBIND 9.7.1〜9.7.2-P3に存在する。権威サーバがIXFRやダイナミックアップデートの処理を行いながらクエリーを受けると、デッドロックが発生してDNSサーバの全リクエスト処理が停止する可能性があるとされる。
この問題を悪用された場合、サービス妨害(DoS)を誘発される恐れがあり、ISCは危険度を「高」と評価している。現時点で実際に悪用されたとの情報は入っていないという。
最新版のBIND 9.7.3ではこの問題が修正されており、ISCではユーザーにアップデートを呼び掛けている。なお、9.7よりも前のバージョンは影響を受けず、BIND 9.8(リリース候補)にもこの脆弱性は存在しないとしている。
米セキュリティ機関のSANS Internet Storm Centerは、BINDはインターネット上で攻撃の標的になりやすいと指摘し、基本的なセキュリティ対策を紹介して実践を促している。
Copyright © ITmedia, Inc. All Rights Reserved.