JPCERTコーディネーションセンター(JPCERT/CC)は6月13日、ISCからISC BIND 9の脆弱性 (CVE-2018-5738) に関する情報が公開されたと伝えた。対象の脆弱性が悪用されると、認証していないクライアントからの再帰問い合わせに応答するおそれがあるという。

  • CVE-2018-5738: Some versions of BIND can improperly permit recursive query service to unauthorized clients - ISC

同脆弱性の影響を受ける状況は以下のとおり。

  • ISC BIND 9.12.0~9.12.1-P2、9.11.3、9.10.7、9.9.12 を利用している(ISC が 2017年10月 のアップデート #4777 を適用している)

  • 再帰問い合わせの受け付けを有効にしている(設定ファイル (named.conf) で "recursion yes;" を設定している、または recursion を設定していない)

  • オプション(allow-recursion, allow-query, allow-query-cache) を設定していない

上記の状況の場合、allow-query の初期値(all hosts) が allow-recursion に継承されるため、再帰問い合わせをすべてのクライアントに対し許可してしまうという。

ISCは同脆弱性の脅威度を中(Medium)と評価しており、今後リリース予定のBIND 9.12.2/9.11.4/9.10.8/9.9.13で同脆弱性を修正すると発表している。

JPCERT/CCは回避策として、以下を紹介している。

  • named.conf に オプション (allow-recursion, allow-query, allow-query-cache) を適切に設定し、再帰問い合わせの受け付けを許可する対象に限定する

  • 再帰問い合わせの受け付けが不要な場合は named.conf に "recursion no;" を設定する