Internet Systems Consortium

Internet Systems Consortium (ISC)は2月22日(米国時間)、BINDが特定条件下でDoS攻撃を受ける可能性があることを発表した。危険度は「高」に設定されている。BIND 9.7.1から9.7.2-P3までが影響を受ける。問題に対応したBIND 9.7.3が公開されており、該当する場合には同バージョンへアップグレードすることが強く推奨されている。この問題についてはJPRSが詳しく説明している。

説明によると、実装に問題があるため、ゾーン情報の更新にIXFRかDynamic Updateを使っている場合に、ネームサーバ(named)がDoS攻撃を受ける可能性があるという。同条件で運用されている権威DNSサーバで、高い頻度でDNS問い合わせを受けている場合や、頻繁にゾーン情報を更新しているケースでは、結果としてデッドロックが発生する可能性がある。

マルチスレッドを無効にしてBINDをビルドするか、起動時に「-n 1」を指定してスレッド数を制限することでこの問題を回避することもできる。ただし、スレッド数を制限するとそれだけ性能が悪化する。対策が実施されたBIND 9.7.3へのアップグレードが推奨される。