JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は2月18日、「JVNVU#90613078: ISC BIND にバッファオーバーフローの脆弱性」において、ISC BINDに脆弱性が存在すると伝えた。この脆弱性を悪用されると、サービス妨害攻撃(DoS: Denial of Service attack)を引き起こされる危険性があるほか、まだ実証はされていないものの遠隔からコードが実行されるおそれがあるとされている。
脆弱性に関する情報は次のページにまとまっている。
- CVE-2020-8625: A vulnerability in BIND's GSSAPI security policy negotiation can be targeted by a buffer overflow attack - Security Advisories
- (緊急)BIND 9.xの脆弱性(DNSサービスの停止・リモートコード実行) について(CVE-2020-8625)
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- BIND 9.5.0から9.11.27までのバージョン
- BIND 9.12.0から9.16.11までのバージョン
- BIND Supported Preview Edition 9.11.3-S1から9.11.27-S1までのバージョン
- BIND Supported Preview Edition 9.16.8-S1から9.16.11-S1までのバージョン
- BIND 開発版 9.17.0から9.17.1までのバージョン
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- BIND 9.11.28
- BIND 9.16.12
- BIND Supported Preview Edition 9.11.28-S1
- BIND Supported Preview Edition 9.16.12-S1
この脆弱性は深刻度が重要(High)に分類されており注意が必要。JPCERT/CCは必要に応じてアップデートを適用することを推奨している。