JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は2月18日、「JVNVU#90613078: ISC BIND にバッファオーバーフローの脆弱性」において、ISC BINDに脆弱性が存在すると伝えた。この脆弱性を悪用されると、サービス妨害攻撃(DoS: Denial of Service attack)を引き起こされる危険性があるほか、まだ実証はされていないものの遠隔からコードが実行されるおそれがあるとされている。

脆弱性に関する情報は次のページにまとまっている。

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • BIND 9.5.0から9.11.27までのバージョン
  • BIND 9.12.0から9.16.11までのバージョン
  • BIND Supported Preview Edition 9.11.3-S1から9.11.27-S1までのバージョン
  • BIND Supported Preview Edition 9.16.8-S1から9.16.11-S1までのバージョン
  • BIND 開発版 9.17.0から9.17.1までのバージョン

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • BIND 9.11.28
  • BIND 9.16.12
  • BIND Supported Preview Edition 9.11.28-S1
  • BIND Supported Preview Edition 9.16.12-S1
  • CVE-2020-8625: A vulnerability in BIND's GSSAPI security policy negotiation can be targeted by a buffer overflow attack - Security Advisories

    CVE-2020-8625: A vulnerability in BIND's GSSAPI security policy negotiation can be targeted by a buffer overflow attack - Security Advisories

この脆弱性は深刻度が重要(High)に分類されており注意が必要。JPCERT/CCは必要に応じてアップデートを適用することを推奨している。