ニュース
BIND 9の脆弱性を修正、DoS攻撃誘発の恐れ
更新版で修正された3件の脆弱(ぜいじゃく)性のうち1件は、危険度「高」に分類され、リモートの攻撃者にDoS状態を誘発される可能性が指摘されている。
Internet Systems Consortium(ISC)は4月12日、DNSサーバソフト「BIND 9」のアップデートを公開し、サービス妨害(DoS)など複数の脆弱(ぜいじゃく)性に対処した。
今回修正された脆弱性のうち、危険度「高」に分類されている1件では、CNAMEまたはDNAMEを含むレスポンスの処理に問題があり、namedが異常終了してしまう可能性がある。リモートの攻撃者がこの問題を悪用すれば、DoS状態を誘発することも可能とされる。
そのほかにも制御チャンネルの入力処理に関する不具合のためにnamedが異常終了を起こす問題など、危険度「中」程度の脆弱性2件に対処した。
これらの脆弱性は、BIND 9の更新版となる9.9.9-P8、9.10.4-P8、9.11.0-P5の各バージョンと、Supported Preview Editionの9.9.9-S10でそれぞれ修正されている。
関連記事
- BIND 9にDoS誘発の脆弱性、特定の条件下で影響の恐れ
「DNS64」と「RPZ」を有効に設定(デフォルトでは無効)している場合に影響を受ける恐れがあるという。 - BIND 9で4件の脆弱性報告、いずれも深刻度は「高」
影響を受けるバージョンは脆弱性によって異なるが、悪用されると、いずれもDoS状態を誘発されてしまうという。 - 「BIND 9」の更新版公開、危険度「高」の脆弱性に対処
悪用された場合、サーバでアサーションエラーが発生してサービス妨害(DoS)状態に陥る可能性。国内でも攻撃が観測されていることから、対応を急ぐ必要がある。 - BINDの脆弱性を狙う攻撃発生を確認、警察庁も注意喚起
警察庁の定点観測システムでBINDの脆弱性を抱えたシステムを狙う無差別攻撃が確認された。 - 「BIND 9」の攻撃コード公開、IPAが緊急更新を呼び掛け
DNSサーバソフト「BIND 9」の脆弱性を突く攻撃実証コードの存在が確認された。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.