Internet Systems Consortium

Internet Systems Consortium (ISC)からBIND9系に存在する脆弱性が公開された。公開されたのはCVE-2012-3817およびCVE-2012-3868の2件の脆弱性。深刻度はそれぞれ、「重大」と「高」に評価されている。

CVE-2012-3817は深刻度「重大」の脆弱性で、高負荷環境下におけるキャッシュデータの取り扱いに不具合があり、外部からnamedに対するDoS攻撃を受けるというもの。具体的にはキャッシュDNSサーバにおいてDNSSEC検証機能を有効にしていると、DNSSEC検証要求を大量に受け取った時にassertion failureエラーを引き起こし、namedが異常終了する場合がある。この脆弱性は、DNSSEC検証機能を有効にしているキャッシュDNSサーバが対象となる。

CVE-2012-3868は深刻度「高」の脆弱性。こちらは大量のTCP問い合わせ受信時においてメモリリークが発生する不具合で、こちらも外部からDoS攻撃を受けることでnamedが異常終了する場合がある。また、メモリ不足によるサーバ障害が発生する可能性もあるという。

どちらの脆弱性も一時的な回避策はなく、解決策はBINDをアップグレードするしかない。前者の脆弱性はBIND9.4系から9.9系まで影響し、後者はBIND 9.9系のみが対象となる。ISCではこれら脆弱性に対処したバージョン、9.9.1-P2、9.8.3-P2、9.7.6-P2、9.6-ESV-R7-P2を公開しており、該当するバージョンのBINDユーザに対して速やかに更新するよう呼びかけている。

なお、CVE-2012-3817の方はBIND 9.4系およびBIND 9.5系も対象となっているが、ISCではこれらバージョンのサポートを終了しているため、これらバージョンに対するセキュリティアップデートは行わないことを発表している。