BIND 9に脆弱性、DoS攻撃や情報流出の恐れ

ISCではアップデートを適用して脆弱性を解決するよう呼び掛けている。

» 2012年06月07日 07時19分 公開
[鈴木聖子,ITmedia]

 米Internet Systems Consortium(ISC)は、DNSサーバソフト「BIND 9」の脆弱性に関する情報を6月4日付で公開した。米セキュリティ機関のSANS Internet Storm Centerはこの脆弱性がサービス妨害(DoS)攻撃に利用される恐れがあると指摘、問題を修正するアップデートの適用を呼び掛けている。

 ISCのセキュリティ情報によると、脆弱性は長さが「0」のRDATAレコードを処理する際の問題に起因する。特にキャッシュサーバの場合、サーバがクラッシュしたり、サーバメモリ内の情報がクライアントに開示されたりする可能性があるという。

 危険度は共通指標CVSSのスコアで8.5(最大値は10.0)、ISCの深刻度評価は「重大」(Critical)となっている。

 SANSによれば、この問題は細工を施したパケットを使って悪用される恐れがある。現時点で脆弱性を突いた攻撃の横行は確認されていないものの、公開メーリングリストには詳しい情報が掲載されているという。

 解決策としてISCでは、BIND 9.6-ESV-R7-P1、9.7.6-P1、9.8.3-P1、9.9.1-P1へのアップグレードを促している。

関連キーワード

脆弱性 | BIND | SANS


Copyright © ITmedia, Inc. All Rights Reserved.