Internet Systems Consortium

ISCよりBIND 9系のすべてのバージョンに、実装上の不具合による脆弱性があることが発表された。この脆弱性を利用されるとnamedに対する外部からのDoS攻撃を受け、提供者が意図しないサービスの停止が発生する可能性があるという。

公開された脆弱性はCVE-2012-5166。先月12日に公開された脆弱性と同じBIND 9.xのRR(Resource Record)の取り扱いに関する不具合で、RDATAの組み合わせが読み込まれた時に以降に関連するRRの問い合わせによってnamedがロックアップする障害が発生するとしている。

ISCはこの脆弱性は影響が大きいことから深刻度を「重大」としており、Bind9.xを利用しているユーザに関連情報の収集や緊急パッチの適用、修正版へのアップグレードなどを行うよう推奨している。

影響を受けるバージョンは9.6系、9.7系、9.8系及び9.9系のすべてのバージョン。すでにこの脆弱性に対応したバージョンとして9.6-ESV-R8、9.6-ESV-R7-P4、9.7.6-P4、9.7.7、9.8.3-P4、9.8.4、9.9.1-P4、9.9.2がリリースされている。なお、9.5以前のバージョンもこの脆弱性の影響を受けるが、ISCではこれらバージョンのサポートを終了しており、セキュリティパッチは公開されていない。