JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は7月30日(米国時間)、「Japan Vulnerability Notes(JVN)」に掲載した記事「JVNVU#99015104: ISC BIND に複数の脆弱性」においてBINDの脆弱性について伝えた。
発見された脆弱性は、「TSIG 認証回避による認可されていないゾーン転送 - CVE-2017-3142」と「TSIG 認証回避による認可されていないダイナミックアップデート - CVE-2017-3143」。
CVE-2017-3142によりゾーン情報の漏洩、CVE-2017-3143によりゾーン情報の書き換えの被害が生じる可能性があるという。
脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。
- BIND 9.4.0~9.8.8までのバージョン
- BIND 9.9.0~9.9.10-P1までのバージョン
- BIND 9.10.0~9.10.5-P1までのバージョン
- BIND 9.11.0~9.11.1-P1までのバージョン
- BIND 9.9.3-S1~9.9.10-S2までのバージョン
- BIND 9.10.5-S1~9.10.5-S2までのバージョン
一覧に使用中のプロダクトが存在する場合、それぞれ脆弱性を修正したバージョンが公開されているため、それら最新版へアップグレードすることが推奨されている。