BIND 9.xに、マニュアルの記述と実際の動作の不一致による脆弱性(JPRS、JVN)
JPRSは、「BIND 9.xの脆弱性(サービス提供者が意図しないDynamic Updateの許可)について(CVE-2018-5741)」の注意喚起を発表した。
脆弱性と脅威
セキュリティホール・脆弱性
同脆弱性は、BIND 9.xにおけるマニュアルの記述と実際の動作の不一致により、サービス提供者が意図しない形でDynamic Updateが許可されてしまうというもの。なお、同脆弱性は設定ファイル(通常はnamed.conf)において、update-policy機能を用いたDynamic Updateの制御を設定しており、かつ、krb5-subdomainまたはms-subdomainルールタイプを設定している場合にのみ該当する(デフォルトでは無効)。なお、同脆弱性の影響を受けるバージョンは次の
通り。
・9.12系列:9.12.0~9.12.2-P1
・9.11系列:9.11.0~9.11.4-P1
・上記以外の系列:9.0.0~9.10.8-P1
ISCでは、同脆弱性の修正のためのBINDの仕様変更とマニュアルの更新を、2018年10月にリリースするバージョン(BIND 9.11.5、BIND 9.12.3)で提供すると発表している。
《吉澤 亨史( Kouji Yoshizawa )》