Japan Vulnerability Notes

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は7月19日、「Japan Vulnerability Notes(JVN)」に掲載した記事「JVNVU#93856717: ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性」において、BINDの脆弱性について伝えた。

JPCERT/CCによると、BIND のlightweight resolverプロトコルの実装には、許容する文字列長を超えるquery nameを含む名前解決リクエストを受信することで、segmentation fault によってサーバが停止する問題が存在するという。細工された名前解決リクエストを送信されることで、segmentation faultによってサーバが停止し、サービス運用妨害(DoS)状態となる可能性があるとのこと。

対象となるバージョンは以下のとおり。

  • BIND 9.9.9-P1およびそれよりも前のバージョン
  • BIND 9.10.0~9.10.4-P1
  • BIND 9.11.0a3~9.11.0b

同脆弱性の対策として、次のバージョンがリリースされている。

  • BIND 9 version 9.9.9-P2
  • BIND 9 version 9.10.4-P2
  • BIND 9 version 9.11.0b2
  • BIND 9 version 9.9.9-S3

対象となるバージョンに使用中のソフトウェアが含まれている場合は、プロジェクトのサイトで最新の情報をチェックするとともに、脆弱性が修正された最新版へアップグレードすることが望まれる。