キャッシュDNSサーバ「BIND 9.x」に複数の脆弱性(JPRS、JVN) | ScanNetSecurity
2026.02.22(日)

キャッシュDNSサーバ「BIND 9.x」に複数の脆弱性(JPRS、JVN)

JPRSは、「BIND 9.xの脆弱性(DNSサービスの停止・異常な動作)について(CVE-2020-8617)」、および「BIND 9.xの脆弱性(パフォーマンスの低下・リフレクション攻撃の踏み台化)について(CVE-2020-8616)」の2つの緊急情報を発表した。

脆弱性と脅威 セキュリティホール・脆弱性
73 views
facebookLINE
株式会社日本レジストリサービス(JPRS)は5月20日、「BIND 9.xの脆弱性(DNSサービスの停止・異常な動作)について(CVE-2020-8617)」、および「BIND 9.xの脆弱性(パフォーマンスの低下・リフレクション攻撃の踏み台化)について(CVE-2020-8616)」の2つの緊急情報を発表した。独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)も同日、「ISC BIND 9 に複数の脆弱性」を発表している。

これは、開発元であるISCから脆弱性情報が発表されたもの。BIND 9.xには、実装上の不具合により、namedに対する外部からのサービス不能(DoS)攻撃が可能となる脆弱性(CVE-2020-8617)が存在する。また、実装上の不具合により、namedに対する外部からの攻撃が可能となる脆弱性(CVE-2020-8616)も存在する。対象となるバージョンは次の通り。

・9.16系列:9.16.0~9.16.2
・9.14系列:9.14.0~9.14.11
・9.12系列:9.12.0~9.12.4-P2
・上記以外の系列:9.0.0~9.11.18

これらのバージョンでは、細工された委任情報を処理することでDoS攻撃を受けたり、他のサーバに対するDoS攻撃に使用される(CVE-2020-8616)、細工されたTSIGレコードを処理することでDoS攻撃を受ける(CVE-2020-8617)可能性がある。ISCでは本脆弱性の深刻度(Severity)を「高(High)」と評価している。JPRSでは、脆弱性を修正したパッチバージョン(BIND 9.16.3/9.14.12/9.11.19)への更新、あるいは、各ディストリビューションベンダからリリースされる更新の適用を、速やかに実施するよう強く推奨している。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. 信和、サイバー攻撃を受けた可能性のある事象を確認

    信和、サイバー攻撃を受けた可能性のある事象を確認

  2. クリックしていないのにアダルトサイトに登録させる「ゼロクリック詐欺」(シマンテック)

    クリックしていないのにアダルトサイトに登録させる「ゼロクリック詐欺」(シマンテック)

  3. 第三者が個人情報を閲覧しうる状態となり「BTCBOX」がサービス停止、関東財務局から報告徴求命令も

    第三者が個人情報を閲覧しうる状態となり「BTCBOX」がサービス停止、関東財務局から報告徴求命令も

  4. フォレンジック調査を無駄にしないため サイバー攻撃被害発生時にやってはいけないNG行動集、個人情報保護委員会が公表

    フォレンジック調査を無駄にしないため サイバー攻撃被害発生時にやってはいけないNG行動集、個人情報保護委員会が公表

  5. ドーミーシニアの従業員が使用していた端末がフィッシングメールを起点に不正操作

    ドーミーシニアの従業員が使用していた端末がフィッシングメールを起点に不正操作

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP