JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は8月19日(現地時間)、「JVNVU#95033866: ISC BINDにサービス運用妨害(DoS)の脆弱性」において、ISC(Internet Systems Consortium)が提供しているDNSサーバソフトウェアの「BIND 9」に脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって影響を受けたシステムに対するサービス運用妨害(DoS)攻撃が可能になるという。BIND 9は幅広く利用されているソフトウェアであるため、影響範囲が大きく注意が必要。

この脆弱性はCVE-2021-25218として追跡されており、詳細はISCによる次のセキュリティアドバイザリにまとめられている。

  • CVE-2021-25218: A too-strict assertion check could be triggered when responses in BIND 9.16.19 and 9.17.16 require UDP fragmentation if RRL is in use

    CVE-2021-25218: A too-strict assertion check could be triggered when responses in BIND 9.16.19 and 9.17.16 require UDP fragmentation if RRL is in use

CVE-2021-25218は、応答速度制限(RRL)が有効になっている環境で、namedが有効なインタフェースの最大転送単位(MTU)よりも大きい応答をUDPで送信しうとした場合にアサーションエラーを引き起こすというもの。第三者に悪用されると、リモートから悪意を持って加工したデータが送られた場合にnamedが異常終了する可能性がある。

対象となるプロダクトおよびバージョンは次のとおり。これ以外のバージョンは影響を受けないとのこと。

  • BIND 9.16.19
  • BIND 9.17.16
  • BIND 9 Supported Preview Edition 9.16.19-S1

それぞれ、次のバージョンにアップデートすることでこの脆弱性の影響を回避することができる。

  • BIND 9.16.20
  • BIND 9.17.17
  • BIND 9 Supported Preview Edition 9.16.20-S1

脆弱性の深刻度は「高(High)」と評価されており、できるだけ早急にアップデートを適用することが推奨されている。