DNSサーバソフト「BIND 9」でサービス妨害(DoS)につながる2件の脆弱性が報告され、開発元のInternet Systems Consortium(ISC)が修正版をリリースした。うち1件(CVE-2015-8704)はBIND 9.3.0以降の全バージョンに影響が及ぶとして早期の適用が呼び掛けられている。
ISCや日本レジストリサービスによると、CVE-2015-8704の脆弱性は文字列のフォーマット処理の不具合に起因し、不正なレコードを受け取った際の内部処理によってnamedが異常終了してしまう可能性がある。既にサポートが終了したBIND 9.3.0〜9.8.8を含む全バージョンに影響する。
もう1件の脆弱性(CVE-2015-8705)は、BIND 9.10.xにおいてOPT疑似リソースレコードとECSオプションをテキストフォーマットに変更する際の処理の不具合に起因する。debug loggingを有効にしている場合に影響を受けるとしている。
修正版はBIND 9.9.8-P3および9.10.3-P3となる。CVE-2015-8704の修正はBIND 9.8.8以前のバージョンでは行われないため、該当バージョンのユーザーには最新版の適用が強く推奨されている。
関連記事
- 「BIND 9」に深刻な脆弱性、更新版の早期適用を
脆弱性を悪用された場合、システムのサービスが停止するなどの恐れがある。 - 「BIND 9」の更新版リリース、深刻な脆弱性に対処
更新版では深刻な脆弱性が修正されたほか、DoS攻撃対策の新機能が加わった。 - BIND 9の緊急パッチ公開、DoSの脆弱性を複数修正
脆弱性は2件あり、うち1件はバージョン9.0.0以降の全てに影響する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.