United States Computer Emergency Readiness Team (US-CERT)は5月20日(米国時間)、「ISC Releases Security Advisory for BIND|CISA」において、ISC BIND 9に脆弱性が複数存在すると伝えた。これら脆弱性を悪用されると、攻撃者によってサービス妨害攻撃(DoS: Denial of Service attack)を引き起こされる危険性がある。

セキュリティ脆弱性に関する情報は次のページにまとまっている。

脆弱性「CVE-2020-8616」 は、DNSの名前解決の動作に起因しており、リモートからの攻撃によって、フルリゾルバを DNS リフレクション攻撃に利用されたり、フルリゾルバのパフォーマンスを低下させられたりする恐れがある。

脆弱性「CVE-2020-8617」は、TSIG リソースレコードを含むメッセージの有効性のチェックの不具合に起因しており、特別に細工されたメッセージを受け取った場合に named の異常終了や、異常な動作が発生する可能性がある。

脆弱性が存在するプロダクトおよびバージョンは次のとおり。既にサポートが終了している BIND 9.10系以前や 9.12系、9.13系、9.15系および開発版の 9.17系もこの脆弱性の影響を受けるという。

  • BIND 9.16.0から9.16.2までのバージョン
  • BIND 9.14.0から9.14.11までのバージョン
  • BIND 9.12.0から9.12.4-P2までのバージョン
  • BIND 9.11.0から9.11.18までのバージョン
  • BIND Supported Preview Edition 9.9.3-S1から9.11.18-S1までのバージョン

セキュリティ脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • BIND 9.16.3
  • BIND 9.14.12
  • BIND 9.11.19
  • BIND Supported Preview Edition 9.11.19-S1
  • CVE-2020-8616: BIND does not sufficiently limit the number of fetches performed when processing referrals - Security Advisories

    CVE-2020-8616: BIND does not sufficiently limit the number of fetches performed when processing referrals - Security Advisories

これらセキュリティ脆弱性は深刻度が重大(High)に分類されており注意が必要。