Internet Systems Consortium

BINDにクラッシュを引き起こすセキュリティ脆弱性があることが発表された。細工されたrdataを含むクエリを受け取った場合、named(8)がクラッシュする可能性がある。この脆弱性は権威ネームサーバおよびキャッシュネームサーバの双方が影響を受けるほか、すでにこのセキュリティ脆弱性を利用した攻撃事例が報告されていることから、迅速な対応が推奨されている。

日本語による情報は日本レジストリサービス(JPRS)が公開した「(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(7月27日公開)」が参考になる。本脆弱性の影響を受けるバージョンは次のとおり。

  • 9.7.0~9.7.7
  • 9.8.0~9.8.5-P1、9.8.6b1
  • 9.9.0~9.9.3-P1、9.9.4b1
  • 9.9.3-S1、9.9.4-S1b1 (サブスクリプション版のみ)

脆弱性が修正されたバージョンは次のとおり。

  • 9.8.5-P2
  • 9.9.3-P2

脆弱性の影響を受けるサーバは広範囲に及ぶとみられている。FreeBSD Security Advisory - FreeBSD-SA-13:07.bindのようにセキュリティパッチが提供されているものについてはその指示に従ってアップデートの実施を、利用しているディストリビューションにおいてベンダやプロジェクトからのパッチ提供がなくとも修正版のバージョンをダウンロードして入れ替えが推奨される。