ニュース
「BIND 9」の更新版公開、DoSの脆弱性に対処
悪用されればサービス妨害(DoS)攻撃を仕掛けられる恐れがあるとして、米セキュリティ機関のUS-CERTも更新版の適用を呼び掛けている。
Internet Systems Consortium(ISC)は9月27日、DNSサーバソフト「BIND 9」に発見された危険度「高」の脆弱性に対処する更新版をリリースした。悪用されればサービス妨害(DoS)攻撃を仕掛けられる恐れがあるとして、米セキュリティ機関のUS-CERTも更新版の適用を呼び掛けている。
ISCのセキュリティ情報によると、脆弱性はBIND 9.0.x〜9.8.x、9.9.0〜9.9.9-P2、9.9.3-S1〜9.9.9-S3、9.10.0〜9.10.4-P2、9.11.0a1〜9.11.0rc1の各バージョンに存在する。
悪用された場合、細工を施したクエリーへのレスポンスを形成する際に、buffer.cにおいてアサーションに失敗し、namedが終了してしまう可能性がある。
問題のアサーションは、例えそのソースアドレスがクエリーを許可されていない(例えば「allow-query」に該当しないなど)場合でも誘発されることがある。リクエストパケットを受信できるサーバは全てこの脆弱性の影響を受けるという。
危険度は共通脆弱性評価システム(CVSS)の評価で7.8(最大値は10.0)。現時点で悪用は確認されていない。脆弱性はBIND 9.9.9-P3、9.10.4-P3、9.11.0rc3、9.9.9-S5の各バージョンで修正された。
関連記事
- OpenSSLにまた更新版、前回更新版に深刻な脆弱性
米国時間9月22日に公開されたパッチのうち、一部に問題が見つかった。 - 「BIND 9」の修正版公開、広範囲に影響する脆弱性も
DNSサーバソフト「BIND 9」で2件の脆弱性報告があり、1件は広範囲に影響する深刻なものという。 - 「BIND 9」の脆弱性を突く攻撃発生、パッチ適用を急いで
7月28日にパッチが公開されたばかりのBIND 9のサービス妨害(DoS)の脆弱性を突く攻撃が確認された。 - BIND 9にDoSの脆弱性、修正版がリリース
開発元のInternet Systems Consortiumが適用を呼び掛けている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.