「BIND 9」の更新版公開、DoSの脆弱性に対処

[鈴木聖子，ITmedia]

US-CERTの注意喚起

　Internet Systems Consortium（ISC）は9月27日、DNSサーバソフト「BIND 9」に発見された危険度「高」の脆弱性に対処する更新版をリリースした。悪用されればサービス妨害（DoS）攻撃を仕掛けられる恐れがあるとして、米セキュリティ機関のUS-CERTも更新版の適用を呼び掛けている。

　ISCのセキュリティ情報によると、脆弱性はBIND 9.0.x〜9.8.x、9.9.0〜9.9.9-P2、9.9.3-S1〜9.9.9-S3、9.10.0〜9.10.4-P2、9.11.0a1〜9.11.0rc1の各バージョンに存在する。

　悪用された場合、細工を施したクエリーへのレスポンスを形成する際に、buffer.cにおいてアサーションに失敗し、namedが終了してしまう可能性がある。

　問題のアサーションは、例えそのソースアドレスがクエリーを許可されていない（例えば「allow-query」に該当しないなど）場合でも誘発されることがある。リクエストパケットを受信できるサーバは全てこの脆弱性の影響を受けるという。

　危険度は共通脆弱性評価システム（CVSS）の評価で7.8（最大値は10.0）。現時点で悪用は確認されていない。脆弱性はBIND 9.9.9-P3、9.10.4-P3、9.11.0rc3、9.9.9-S5の各バージョンで修正された。

ISCのセキュリティ情報