JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は8月19日(現地時間)、「JVNVU#95033866: ISC BINDにサービス運用妨害(DoS)の脆弱性」において、ISC(Internet Systems Consortium)が提供しているDNSサーバソフトウェアの「BIND 9」に脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって影響を受けたシステムに対するサービス運用妨害(DoS)攻撃が可能になるという。BIND 9は幅広く利用されているソフトウェアであるため、影響範囲が大きく注意が必要。
この脆弱性はCVE-2021-25218として追跡されており、詳細はISCによる次のセキュリティアドバイザリにまとめられている。
CVE-2021-25218は、応答速度制限(RRL)が有効になっている環境で、namedが有効なインタフェースの最大転送単位(MTU)よりも大きい応答をUDPで送信しうとした場合にアサーションエラーを引き起こすというもの。第三者に悪用されると、リモートから悪意を持って加工したデータが送られた場合にnamedが異常終了する可能性がある。
対象となるプロダクトおよびバージョンは次のとおり。これ以外のバージョンは影響を受けないとのこと。
- BIND 9.16.19
- BIND 9.17.16
- BIND 9 Supported Preview Edition 9.16.19-S1
それぞれ、次のバージョンにアップデートすることでこの脆弱性の影響を回避することができる。
- BIND 9.16.20
- BIND 9.17.17
- BIND 9 Supported Preview Edition 9.16.20-S1
脆弱性の深刻度は「高(High)」と評価されており、できるだけ早急にアップデートを適用することが推奨されている。