Internet Systems Consortium

ISCは3月26日(米国時間)、BIND9に重大な脆弱性があると発表した。Unix版のBIND 9.7.x、BIND 9.8.0~9.8.5b1、BIND 9.9.0~9.9.3b1が影響を受ける。また、同バージョンのlibdnsを使用するソフトウェアも影響を受けるとされている。

脆弱性を突かれるとリモートからの操作でネームサーバが大量のメモリを消費し不正終了する可能性があるほか、メモリを大量消費することで同じマシンで動作している他のソフトウェアにも影響を与える可能性がある。

BIND 10にはこの脆弱性はない。BIND 9.9.2-P2およびBIND 9.8.4-P2で修正されているため、このバージョンへアップグレードが推奨される。一時的な回避方法としては、正規表現機能を無効にしてビルドし直すという方法がある。BIND 9.7はすでにセキュリティサポートの期間が終了しているためパッチの提供は行われないが、正規表現機能を無効にしてビルドすることで、この問題を回避できる。