United States Computer Emergency Readiness Team (US-CERT)は2018年1月16日(米国時間)、「ISC Releases Security Advisories for DHCP, BIND|US-CERT」において、Berkeley Internet Name Domain (BIND)およびISC Dynamic Host Configuration Protocol (DHCP)に複数の脆弱性が存在すると伝えた。この脆弱性を悪用されると、遠隔から攻撃者によってサービス妨害攻撃を受ける危険性がある。
脆弱性の詳細は次のページにまとまっている。
- CVE-2017-3145: Improper fetch cleanup sequencing in the resolver can cause named to crash|ISC Knowledge Base
- CVE-2017-3144: Failure to properly clean up closed OMAPI connections can exhaust available sockets|ISC Knowledge Base
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- BIND 9.0.0から9.8.xまでのバージョン
- BIND 9.9.0から9.9.11までのバージョン
- BIND 9.10.0から9.10.6までのバージョン
- BIND 9.11.0から9.11.2までのバージョン
- BIND 9.9.3-S1から9.9.11-S1までのバージョン
- BIND 9.10.5-S1から9.10.6-S1までのバージョン
- BIND 9.12.0a1から9.12.0rc1までのバージョン
- DHCP 4.1.0から4.1-ESV-R15までのバージョン
- DHCP 4.2.0から4.2.8までのバージョン
- DHCP 4.3.0から4.3.6までのバージョン
DHCPは古いバージョンも影響を受けると見られるが、すでにサポートが終了していること、4.1.0よりも前のバージョンはテストが実施されていないことも説明されている。今後のバージョンで修正が取り込まれる見通しで、現段階では回避先を適用しておくことが望まれる。
ISC は、脆弱性 CVE-2017-3145 に対する深刻度を「高 (High)」と評価しており、同脆弱性は DNSSEC 検証を有効としているキャッシュDNS サーバが影響を受けるとコメントしている。BINDに関してはすでに問題を修正したバージョンが公開されているため、該当するプロダクトを使用している場合はアップデートを実施することが望まれる。