JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は8月9日、「ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2018-5740) に関する注意喚起」において、ISC BIND 9にサービス運用妨害(Denial of Service)につながる脆弱性が存在すると伝えた。この脆弱性を悪用されると、"deny-answer-aliases" 機能を有効にしている場合にnamedが終了する可能性があるとされている。

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • BIND 9 バージョン9.9.0から9.9.13まで
  • BIND 9 バージョン9.10.0から9.10.8まで
  • BIND 9 バージョン9.11.0から9.11.4まで
  • BIND 9 バージョン9.12.0から9.12.2まで

脆弱性が修正されたバージョンは次のとおり。

  • BIND 9 バージョン9.9.13-P1
  • BIND 9 バージョン9.10.8-P1
  • BIND 9 バージョン9.11.4-P1
  • BIND 9 バージョン9.12.2-P1
  • BIND 9 バージョン9.11.3-S3
  • CVE-2018-5740: A flaw in the ”deny-answer-aliases” feature can cause an INSIST assertion failure in named|ISC

    CVE-2018-5740: A flaw in the ”deny-answer-aliases” feature can cause an INSIST assertion failure in named|ISC

この脆弱性はすでにサポートが終了している9.7系および9.8系にも存在している。また、9.9系および9.10系は2018年6月にすでに更新プログラムの提供が終了となっており、より新しいバージョンへアップグレードすることが推奨されている。