Windows版BINDにセキュリティ脆弱性

日本レジストリサービス(JPRS)は11月7日、「BIND 9.xの脆弱性(サービス提供者が意図しないアクセスの許可)について」を公開し、Windows版のBIND 9系にセキュリティ脆弱性があることを伝えた。この問題はWindows版のBINDのみが対象とされており、UNIX系オペレーティングシステムで動作しているBINDは対象にはならない。

Windows版のBIND 9系にはnamed(8)使用するIPv4アドレスのネットマスクとして255.255.255.255が指定されていた場合、結果としてオープンリゾルバとして動作するという脆弱性があることが発見された。オープンリゾルバ状態のnamed(8)はDoS攻撃に利用される可能性がある。このセキュリティ脆弱性が含まれるバージョンは次のとおり。

• OSS版 9.6-ESV～9.6-ESV-R10
• OSS版 9.8.0～9.8.6
• OSS版 9.9.0～9.9.4
• サブスクリプション版 9.9.3-S1、9.9.4-S1

このセキュリティ脆弱性はWinsockライブラリの挙動に起因するもので、UNIX系オペレーティングシステムではこの問題は発生しない。またWindows版BINDで該当するバージョンを使っている場合でも、named(8)が使用するIPv4アドレスのサブネットマスクとして255.255.255.255を指定していない場合にはこの問題の影響は受けない。