BIND 9.10.xにDNSサービス停止の脆弱性（JPRS）

JPRSは、BIND 9.xの脆弱性（DNSサービスの停止）について発表した。

脆弱性と脅威セキュリティホール・脆弱性

70 views

2015.2.20 Fri 8:00

株式会社日本レジストリサービス（JPRS）は2月19日、BIND 9.xの脆弱性（DNSサービスの停止）について発表した。これは、BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービス不能（DoS）攻撃が可能となる脆弱性が、開発元のISCから発表されたというもの。ISCは、本脆弱性の深刻度（Severity）を「高（High）」と評価している。対象となるバージョンは、「9.10系列：9.10.0～9.10.0-P1」「9.9系列：9.9.0～9.9.6-P1」「9.8系列：すべてのバージョン」「9.7系列：すべてのバージョン」。

本脆弱性は、トラストアンカーの自動更新の例外処理の実装が原因で、複数の条件を満たす状況でnamedが異常終了、あるいは異常動作を起こす障害が発生する。JPRSでは解決策として、本脆弱性を修正したパッチバージョン（BIND 9.10.1-P2/9.9.6-P2）への更新、あるいは各ディストリビューションベンダからリリースされる更新の適用を、速やかに実施することを挙げている。なお、トラストアンカーの自動更新機能を無効に設定することで一時的な解決策となるとしている。

《吉澤亨史（ Kouji Yoshizawa ）》