JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は7月19日、「Japan Vulnerability Notes(JVN)」に掲載した記事「JVNVU#93856717: ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性」において、BINDの脆弱性について伝えた。
JPCERT/CCによると、BIND のlightweight resolverプロトコルの実装には、許容する文字列長を超えるquery nameを含む名前解決リクエストを受信することで、segmentation fault によってサーバが停止する問題が存在するという。細工された名前解決リクエストを送信されることで、segmentation faultによってサーバが停止し、サービス運用妨害(DoS)状態となる可能性があるとのこと。
対象となるバージョンは以下のとおり。
- BIND 9.9.9-P1およびそれよりも前のバージョン
- BIND 9.10.0~9.10.4-P1
- BIND 9.11.0a3~9.11.0b
同脆弱性の対策として、次のバージョンがリリースされている。
- BIND 9 version 9.9.9-P2
- BIND 9 version 9.10.4-P2
- BIND 9 version 9.11.0b2
- BIND 9 version 9.9.9-S3
対象となるバージョンに使用中のソフトウェアが含まれている場合は、プロジェクトのサイトで最新の情報をチェックするとともに、脆弱性が修正された最新版へアップグレードすることが望まれる。