Internet Systems Consortium |
Internet Systems Consortium (ISC)は9月12日(米国時間)、BIND 9系の複数のバージョンに影響を及ぼす脆弱性を発表した。この脆弱性を突かれるとnamedに対して外部からDoS(サービス不能)攻撃を受けてしまうという。公開されたBINDの脆弱性はCVE-2012-4244。
BIND 9.xにRR(Resource Record)取り扱いの不具合があり、RDATAフィールドの長さが65,535バイトを越えたRRが読み込まれた場合に、以降の当該RRに対する問い合わせにnamedがREQUIRE例外で異常終了してしまう。この脆弱性はキャッシュDNSサーバおよび権威DNSサーバのどちらでも発生するという。
ISCではBIND9に見つかった脆弱性の重要度を「重大(Critical)」と位置づけており、バージョンアップを行うように強く勧めている。影響を受けるバージョンは9.6系、9.7系、9.8系及び9.9系のすべてのバージョン。すでにこの脆弱性に対応したバージョンとして9.6-ESV-R7-P3、9.7.6-P3、9.8.3-P3、9.9.1-P3がリリースされている。
なお、9.4系及び9.5系もこの脆弱性の影響を受けるが、ISCではこれらバージョンのサポートを終了しているため、セキュリティパッチは公開されない。また、次期リリースに向けた各9.x系の開発版も脆弱性の対象であるため、これらバージョンを利用している利用者に対しても注意を呼びかけている。
