BIND 9.xに、マニュアルの記述と実際の動作の不一致による脆弱性(JPRS、JVN) | ScanNetSecurity
2026.02.02(月)

BIND 9.xに、マニュアルの記述と実際の動作の不一致による脆弱性(JPRS、JVN)

JPRSは、「BIND 9.xの脆弱性(サービス提供者が意図しないDynamic Updateの許可)について(CVE-2018-5741)」の注意喚起を発表した。

脆弱性と脅威 セキュリティホール・脆弱性
34 views
facebookLINE
株式会社日本レジストリサービス(JPRS)は9月20日、「BIND 9.xの脆弱性(サービス提供者が意図しないDynamic Updateの許可)について(CVE-2018-5741)」の注意喚起を発表した。独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)も同日、「ISC BIND 9 の Update policy 機能の説明が実際の挙動と異なっている問題」を発表している。これは、開発元であるISCから発表されたもので、ISCでは本脆弱性の深刻度(Severity)を「中(Medium)」と評価している。

同脆弱性は、BIND 9.xにおけるマニュアルの記述と実際の動作の不一致により、サービス提供者が意図しない形でDynamic Updateが許可されてしまうというもの。なお、同脆弱性は設定ファイル(通常はnamed.conf)において、update-policy機能を用いたDynamic Updateの制御を設定しており、かつ、krb5-subdomainまたはms-subdomainルールタイプを設定している場合にのみ該当する(デフォルトでは無効)。なお、同脆弱性の影響を受けるバージョンは次の
通り。

・9.12系列:9.12.0~9.12.2-P1
・9.11系列:9.11.0~9.11.4-P1
・上記以外の系列:9.0.0~9.10.8-P1

ISCでは、同脆弱性の修正のためのBINDの仕様変更とマニュアルの更新を、2018年10月にリリースするバージョン(BIND 9.11.5、BIND 9.12.3)で提供すると発表している。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. 通行中の市民がごみステーションで生活保護受給者の申請書を発見

    通行中の市民がごみステーションで生活保護受給者の申請書を発見

  2. ソリトンシステムズ「準備はできている」~多要素認証ニーズの変化はサプライチェーンリスク対策

    ソリトンシステムズ「準備はできている」~多要素認証ニーズの変化はサプライチェーンリスク対策PR

  3. 東京電力グループのサイバーセキュリティ対策全体概要 ~ 防災とセキュリティ対策を一元化

    東京電力グループのサイバーセキュリティ対策全体概要 ~ 防災とセキュリティ対策を一元化

  4. エネサンスホールディングスへのランサムウェア攻撃、北海道と神奈川県の LPガス配送にかかわる情報が漏えいした可能性

    エネサンスホールディングスへのランサムウェア攻撃、北海道と神奈川県の LPガス配送にかかわる情報が漏えいした可能性

  5. TOKAIコミュニケーションズ「OneOffice Mail Solution」への不正アクセス、未発見だったサーバ機器の脆弱性を悪用

    TOKAIコミュニケーションズ「OneOffice Mail Solution」への不正アクセス、未発見だったサーバ機器の脆弱性を悪用

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP