BIND 9.xに、マニュアルの記述と実際の動作の不一致による脆弱性(JPRS、JVN) | ScanNetSecurity
2026.01.12(月)

BIND 9.xに、マニュアルの記述と実際の動作の不一致による脆弱性(JPRS、JVN)

JPRSは、「BIND 9.xの脆弱性(サービス提供者が意図しないDynamic Updateの許可)について(CVE-2018-5741)」の注意喚起を発表した。

脆弱性と脅威 セキュリティホール・脆弱性
34 views
facebookLINE
株式会社日本レジストリサービス(JPRS)は9月20日、「BIND 9.xの脆弱性(サービス提供者が意図しないDynamic Updateの許可)について(CVE-2018-5741)」の注意喚起を発表した。独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)も同日、「ISC BIND 9 の Update policy 機能の説明が実際の挙動と異なっている問題」を発表している。これは、開発元であるISCから発表されたもので、ISCでは本脆弱性の深刻度(Severity)を「中(Medium)」と評価している。

同脆弱性は、BIND 9.xにおけるマニュアルの記述と実際の動作の不一致により、サービス提供者が意図しない形でDynamic Updateが許可されてしまうというもの。なお、同脆弱性は設定ファイル(通常はnamed.conf)において、update-policy機能を用いたDynamic Updateの制御を設定しており、かつ、krb5-subdomainまたはms-subdomainルールタイプを設定している場合にのみ該当する(デフォルトでは無効)。なお、同脆弱性の影響を受けるバージョンは次の
通り。

・9.12系列:9.12.0~9.12.2-P1
・9.11系列:9.11.0~9.11.4-P1
・上記以外の系列:9.0.0~9.10.8-P1

ISCでは、同脆弱性の修正のためのBINDの仕様変更とマニュアルの更新を、2018年10月にリリースするバージョン(BIND 9.11.5、BIND 9.12.3)で提供すると発表している。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. EmEditor「公式サイトからダウンロードしたお客様が被害に遭われた点に重い責任を感じて」いる

    EmEditor「公式サイトからダウンロードしたお客様が被害に遭われた点に重い責任を感じて」いる

  2. 「攻撃者の高い執念が感じられ」る 日本語版 EmEditor Web サイトのリンク改変

    「攻撃者の高い執念が感じられ」る 日本語版 EmEditor Web サイトのリンク改変

  3. 日産自動車の業務委託先に不正アクセス、約 21,000 人の顧客情報流出の可能性

    日産自動車の業務委託先に不正アクセス、約 21,000 人の顧客情報流出の可能性

  4. 人気米Youtuberが約4億円で購入した「ポケモンカード」、包装に改ざん跡

    人気米Youtuberが約4億円で購入した「ポケモンカード」、包装に改ざん跡

  5. 複数名でマスキング処理を確認したが時間経過でインクが薄れて個人情報判読可能

    複数名でマスキング処理を確認したが時間経過でインクが薄れて個人情報判読可能

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP