日本レジストリサービス(JPRS)は6月12日、BIND 9.10.xについて、開発元のISCから実装上の不具合によりnamedに対する外部からのDoS攻撃が可能となる脆弱性が発表されたことを受け、注意を促している。
BIND 9.10.xにはEDNS0のオプションの処理に不具合があり、特別に作成されたDNS問い合わせの処理において、namedが異常終了を起こす障害が発生する。
今回発見された脆弱性により異常終了した場合、"REQUIRE" assertion failureを引き起こした旨のメッセージがログに出力される。
今回発見された脆弱性を悪用すると、キャッシュDNSサーバと権威DNSサーバの双方を対象としたリモート攻撃が可能であり、インターネットに直接接続していないDNSサーバも攻撃の対象になりうるという。
ISCは、本脆弱性の深刻度(Severity)を「重大(Critical)」と評価している。
解決策は、修正したパッチバージョン(BIND 9.10.0-P2)に更新するか、各ディストリビューションベンダーからリリースされる更新の適用するかのいずれかとなる。
修正版はISCのサイトからダウンロードできる。