独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月21日、ISC BINDにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
・CVE-2026-3039
BIND 9.0.0から9.16.50
BIND 9.18.0から9.18.48
BIND 9.20.0から9.20.22
BIND 9.21.0から9.21.21
BIND 9.9.3-S1から9.16.50-S1(Supported Preview Edition)
BIND 9.18.11-S1から9.18.48-S1(Supported Preview Edition)
BIND 9.20.9-S1から9.20.22-S1(Supported Preview Edition)
・CVE-2026-3592
BIND 9.11.0から9.16.50
BIND 9.18.0から9.18.48
BIND 9.20.0から9.20.22
BIND 9.21.0から9.21.21
BIND 9.11.3-S1から9.16.50-S1(Supported Preview Edition)
BIND 9.18.11-S1から9.18.48-S1(Supported Preview Edition)
BIND 9.20.9-S1から9.20.22-S1(Supported Preview Edition)
・CVE-2026-3593、CVE-2026-5947
BIND 9.20.0から9.20.22
BIND 9.21.0から9.21.21
BIND 9.20.9-S1から9.20.22-S1(Supported Preview Edition)
・CVE-2026-5946
BIND 9.11.0から9.16.50
BIND 9.18.0から9.18.48
BIND 9.20.0から9.20.22
BIND 9.21.0から9.21.21
BIND 9.11.3-S1から9.16.50-S1(Supported Preview Edition)
BIND 9.18.11-S1から9.18.48-S1(Supported Preview Edition)
BIND 9.20.9-S1から9.20.22-S1(Supported Preview Edition)
・CVE-2026-5950
BIND 9.18.36から9.18.48
BIND 9.20.8から9.20.22
BIND 9.21.7から9.21.21
BIND 9.18.36-S1から9.18.48-S1(Supported Preview Edition)
BIND 9.20.9-S1から9.20.22-S1(Supported Preview Edition)
ISC(Internet Systems Consortium)が提供するISC BINDには、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・GSS-APIトークンを介したTKEYベースの認証を使用するように設定されたBINDサーバが細工されたパケットを受信・処理した場合、メモリを過剰に消費する(CVE-2026-3039)
→遠隔の攻撃者によって、サービス運用妨害(DoS)攻撃を引き起こされる
・BINDリゾルバは、リソース消費の増幅および枯渇攻撃に対して脆弱なため、細工されたゾーンに対してクエリを送信すると通常よりも過剰なリソースを消費する(CVE-2026-3592)
→遠隔の攻撃者によって、サービス運用妨害(DoS)攻撃を引き起こされる
・DNS-over-HTTPSの実装に、use-after-freeの脆弱性が存在する(CVE-2026-3593)
→遠隔の攻撃者によって、メモリ破損を引き起こされる
・namedにおける特定のDNSメッセージ処理に複数の不備があり、細工されたリクエストが影響を受けるコードパスに到達すると、アサーション違反が発生する(CVE-2026-5946)
→遠隔の攻撃者によって、サービス運用妨害(DoS)攻撃を引き起こされる
・BINDがSIG(0)で署名された着信DNSメッセージの署名を検証中に、競合状態が発生しメモリ解放後の使用(use-after-free)が起き、未定義動作が発生する(CVE-2026-5947)
→遠隔の攻撃者によって、サービス運用妨害(DoS)攻撃を引き起こされる
・BIND 9のリゾルバ状態マシンにおいて、不正なサーバへの対応処理中に無制限の再送信ループが起こる(CVE-2026-5950)
→遠隔の攻撃者によって、サービス運用妨害(DoS)攻撃を引き起こされる
JVNでは、開発者が提供する次のパッチバージョンにアップデートするよう呼びかけている。
・CVE-2026-3039、CVE-2026-3592、CVE-2026-5946、CVE-2026-5950
BIND 9.18.49
BIND 9.20.23
BIND 9.21.22
BIND 9.18.49-S1(Supported Preview Edition)
BIND 9.20.23-S1(Supported Preview Edition)
・CVE-2026-3593、CVE-2026-5947
BIND 9.20.23
BIND 9.21.22
BIND 9.20.23-S1(Supported Preview Edition)
※ISC(Internet Systems Consortium)はCVE-2026-3593およびCVE-2026-5946に対するワークアラウンドも提供している。
なお、株式会社日本レジストリサービス(JPRS)では5月21日に、大規模言語モデル(LLM)の普及に伴う脆弱性報告数の急増に対応するため、BIND 9のリリース計画と脆弱性対応の一部を変更し、セキュリティアップデートを高頻度化する旨のアナウンスが米国太平洋夏時間5月11日に開発元のISCから公開された旨を公表している。
ISCでは変更される項目として、下記を挙げている。
1.BIND 9.22のリリースの延期
次期安定バージョンとして、2026年第2四半期に予定されていたBIND 9.22のリリースが、少なくとも2026年末まで延期される。
2.セキュリティアップデートの高頻度化
当分の間、BIND 9のセキュリティアップデートが高頻度化される見込み。
3.対象バージョンの正確な特定の省略
脆弱性がどのマイナーリリースで組み込まれたかの正確な特定(脆弱性の対象となるバージョンの特定)が省略される。
4.再現テストの公開
脆弱性を公開した時点で、その脆弱性の再現テストを公開する旨を発表している。
