米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は10月28日(米国時間)、「ISC Releases Security Advisory for BIND|CISA」において、DNSサーバ「BIND」の複数バージョンに脆弱性が報告されており、開発を行っているISC(Internet Systems Consortium)がセキュリティアドバイザリをリリースしたと伝えた。この脆弱性を悪用されると、リモートから対象のシステムでサービス拒否状態(DoS)が引き起こされる危険性がある。
BINDに発見されたこの脆弱性はCVE-2021-25219として追跡されており、詳細はISCによる次のセキュリティアドバイザリにまとめられている。
アドバイザリによると、この脆弱性はLameキャッシュに発見されたもので、実装の不具合によって内部データ構造がほぼ無限に大きくなる可能性があるという問題を抱えているという。もし、この状況を攻撃者が意図的に作り出すことができた場合、リゾルバの問い合わせ処理に対してLameキャッシュのチェックに大量の時間が費やされることになり、結果として応答パフォーマンスが低下してサービス拒否状態に陥るおそれがある。
影響を受けるとされるバージョンは以下の通り。
- BIND 9.3.0 から 9.11.35
- BIND 9.12.0 から 9.16.21
- BIND 9.9.3-S1 から 9.11.35-S1(プレビューエディション)
- BIND 9.16.8-S1 から 9.16.21-S1 (プレビューエディション)
- BIND 9.17.0 から 9.17.18 (開発ブランチ)
それぞれ、次に挙げる最も近い後継バージョンにアップデートすることでCVE-2021-25219の影響を回避できる。
- BIND 9.11.36
- BIND 9.16.22
- BIND 9.11.36-S1
- BIND 9.16.22-S1
- BIND 9.17.19
そのほか、Lameキャッシュを無効にすることでも問題を回避できる。ISCによると、現在のインターネットではLameキャッシュを無効にしてもデメリットはほとんどないという。