JPCERT/CCは2月9日、ISC(Internet Systems Consortium)が提供するBIND 9にDoS(サービス運用妨害)の原因となる脆弱性があるとして注意喚起を行った。対象となるバージョンは、
・9.9系列 9.9.3 から 9.9.9-P5 までのバージョン
・9.10系列 9.10.0 から 9.10.4-P5 までのバージョン
・9.11系列 9.11.0 から 9.11.0-P2 までのバージョン
でDNS64とRPZ(Response Policy Zone)の双方を有効にしている場合に脆弱性の影響を受けるとしている。
回避策として運用で使用してない場合のDNS64もしくはRPZにおけるポリシーゾーンのコンテンツの適切な制限を行うことで影響を軽減できるほか、対策としてICSからの修正バージョンである
・BIND 9 version 9.9.9-P6
・BIND 9 version 9.10.4-P6
・BIND 9 version 9.11.0-P3
の修正適用検討を紹介している。また日本レジストリサービス(JPRS)からも脆弱性の概要の解説とバージョンアップの推奨が行われている。
参考情報
US-CERT
ISC Releases Security Updates for BIND https://www.us-cert.gov/ncas/current-activity/2017/02/08/ISC-Releases-Security-Updates-BINDInternet Systems Consortium, Inc. (ISC)
Response Policy Zones
https://www.isc.org/?faqs=response-policy-zones株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3135)- DNS64とRPZの双方を使用している場合のみ対象、バージョンアップを推奨 - https://jprs.jp/tech/security/2017-02-09-bind9-vuln-dns64-rpz.html
