JPCERT コーディネーションセンター(JPCERT/CC)は2月9日、DNSサーバソフト「BIND 9」で新たに報告された脆弱性への注意を呼び掛けた。特定の条件下でDoS(サービス妨害)を誘発されてしまう恐れがあるという。
開発元のInternet Systems Consortium(ISC)やJPCERT/CC、日本レジストリサービスによると、脆弱性はBIND 9.8.0以降でサポートされたDNS64とRPZ(Response Policy Zones)での内部処理に起因する。
いずれもデフォルトでは無効だが、namedにおいて双方を有効にしている場合、DNSクエリの処理で矛盾した状態が発生し、namedが異常終了してしまうという。影響を受けるのは、9.9.3-S1〜9.9.9-S7、9.9.3〜9.9.9-P5および9.9.10b1、9.10.0〜9.10.4-P5、9.10.5b1、9.11.0〜9.11.0-P2、9.11.1b1の各バージョン。脆弱性の深刻度は「高(High)」、CVSS v3での値は7.3(最大10.0)と評価されている。
ISCは米国時間8日に修正版となる9.9.9-P6、9.10.4-P6、9.11.0-P3をリリースした。アップデートによってこの問題が解決されるが、一時的にDNS64もしくはRPZを設定から削除するか、RPZでのポリシーゾーンのコンテンツを適切に制限することで、問題の影響を緩和できるという。
関連記事
- BIND 9で4件の脆弱性報告、いずれも深刻度は「高」
影響を受けるバージョンは脆弱性によって異なるが、悪用されると、いずれもDoS状態を誘発されてしまうという。 - 「BIND 9」の更新版公開、危険度「高」の脆弱性に対処
悪用された場合、サーバでアサーションエラーが発生してサービス妨害(DoS)状態に陥る可能性。国内でも攻撃が観測されていることから、対応を急ぐ必要がある。 - 「BIND 9」の攻撃コード公開、IPAが緊急更新を呼び掛け
DNSサーバソフト「BIND 9」の脆弱性を突く攻撃実証コードの存在が確認された。 - 「BIND 9」の更新版公開、DoSの脆弱性に対処
悪用されればサービス妨害(DoS)攻撃を仕掛けられる恐れがあるとして、米セキュリティ機関のUS-CERTも更新版の適用を呼び掛けている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.