米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は4月29日(米国時間)、「ISC Releases Security Advisory for BIND|CISA」において、ISC Berkeley Internet Name Domain (BIND)に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされている。
脆弱性に関する情報は次のページにまとまっている。
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- BIND 9.5.0から9.11.29までのバージョン
- BIND 9.12.0から9.16.13までのバージョン
- BIND 9.11.3-S1から9.11.29-S1までのバージョン
- BIND 9.16.8-S1から9.16.13-S1までのバージョン
- BIND 9.17.0から9.17.1までのバージョン
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- BIND 9.11.31
- BIND 9.16.15
- BIND 9.17.12 (CVE-2021-25216は除く)
- BIND 9.11.31-S1
- BIND 9.16.15-S1
-
CVE-2021-25216: A second vulnerability in BIND's GSSAPI security policy negotiation can be targeted by a buffer overflow attack - Security Advisories
これら脆弱性を悪用されると、namedの予期せぬ停止やDNAME自身の名前解決に失敗してアサーションチェックに失敗といったことが起こるほか、バッファオーバーフロー攻撃の標的となるおそれがあるとされている。
脆弱性は深刻度が重要(High)に分類されており注意が必要。Cybersecurity and Infrastructure Security Agency (CISA)はユーザーおよび管理者に対し、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。