BIND 9.xに、マニュアルの記述と実際の動作の不一致による脆弱性(JPRS、JVN) | ScanNetSecurity
2025.12.04(木)

BIND 9.xに、マニュアルの記述と実際の動作の不一致による脆弱性(JPRS、JVN)

JPRSは、「BIND 9.xの脆弱性(サービス提供者が意図しないDynamic Updateの許可)について(CVE-2018-5741)」の注意喚起を発表した。

脆弱性と脅威 セキュリティホール・脆弱性
34 views
facebookLINE
株式会社日本レジストリサービス(JPRS)は9月20日、「BIND 9.xの脆弱性(サービス提供者が意図しないDynamic Updateの許可)について(CVE-2018-5741)」の注意喚起を発表した。独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)も同日、「ISC BIND 9 の Update policy 機能の説明が実際の挙動と異なっている問題」を発表している。これは、開発元であるISCから発表されたもので、ISCでは本脆弱性の深刻度(Severity)を「中(Medium)」と評価している。

同脆弱性は、BIND 9.xにおけるマニュアルの記述と実際の動作の不一致により、サービス提供者が意図しない形でDynamic Updateが許可されてしまうというもの。なお、同脆弱性は設定ファイル(通常はnamed.conf)において、update-policy機能を用いたDynamic Updateの制御を設定しており、かつ、krb5-subdomainまたはms-subdomainルールタイプを設定している場合にのみ該当する(デフォルトでは無効)。なお、同脆弱性の影響を受けるバージョンは次の
通り。

・9.12系列:9.12.0~9.12.2-P1
・9.11系列:9.11.0~9.11.4-P1
・上記以外の系列:9.0.0~9.10.8-P1

ISCでは、同脆弱性の修正のためのBINDの仕様変更とマニュアルの更新を、2018年10月にリリースするバージョン(BIND 9.11.5、BIND 9.12.3)で提供すると発表している。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. 新報国マテリアルにランサムウェア攻撃、ファイルの一部暗号化とバックアップデータ等の一部削除を確認

    新報国マテリアルにランサムウェア攻撃、ファイルの一部暗号化とバックアップデータ等の一部削除を確認

  2. 感染が確認された機器は一部サーバに限定 ~ ユーザックシステムへのランサムウェア攻撃

    感染が確認された機器は一部サーバに限定 ~ ユーザックシステムへのランサムウェア攻撃

  3. テインへのランサムウェア攻撃、子会社の中国工場が 1 週間稼働を停止

    テインへのランサムウェア攻撃、子会社の中国工場が 1 週間稼働を停止

  4. 木更津市 黒塗りして 個人情報漏えい

    木更津市 黒塗りして 個人情報漏えい

  5. FortiGate の SSL-VPN 廃止受けた設定最適化サービス

    FortiGate の SSL-VPN 廃止受けた設定最適化サービス

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP