BIND 9.xにサーバダウンなどを引き起こす不具合(JPRS) | ScanNetSecurity
2024.04.24(水)

BIND 9.xにサーバダウンなどを引き起こす不具合(JPRS)

JPRSは、BIND 9.xのゾーン転送における巨大なゾーンデータの取り扱いの不具合について注意喚起を発表した。

脆弱性と脅威 セキュリティホール・脆弱性
facebookLINE
株式会社日本レジストリサービス(JPRS)は7月10日、BIND 9.xのゾーン転送における巨大なゾーンデータの取り扱いの不具合について注意喚起を発表した。この不具合は、セカンダリサーバ(スレーブサーバ)がゾーン転送で巨大なゾーンデータを受け取った際の処理に存在する問題で、ジャーナルファイルの破損やサーバダウンを引き起こす可能性がある。開発元であるISCから発表されたもの。

この不具合は、次の2つの条件を満たしている場合にのみ影響を受ける。

・ゾーン転送でゾーンデータを受け取っている
・差分ゾーン転送(IXFR)でゾーンデータを受け入れている、あるいは、従来のゾーン転送(AXFR)を「ixfr-from-differences no;」オプションが設定されていない状態で受け入れている
※ixfr-from-differencesのデフォルト値は"yes"で、設定可能な値は"yes"、"no"、"slave"、"master"。

また、次の回避策を挙げている。

・max-recordsパラメーターを設定し、ゾーン内に設定可能なレコード数の最大値を制限する
・ixfr-from-differences no;オプションを設定し、差分の生成を抑制する

ISCによると、本件は2018年7月の「#4984」の変更で修正しており、今後リリースされるBIND 9.xには、本件の修正が含まれている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

関連リンク

特集

PageTop

アクセスランキング

  1. 訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

    訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

  2. 社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

    社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

  3. LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

    LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

  4. セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多

    セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多

  5. Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

    Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

  6. NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず

    NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず

  7. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  8. 笛吹市商工会へのサポート詐欺被害、調査結果公表

    笛吹市商工会へのサポート詐欺被害、調査結果公表

  9. 東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

    東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

  10. 「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に

    「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に

ランキングをもっと見る
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP