BIND 9に再びDoSの脆弱性、攻撃されると復旧には強制終了が必要に修正版へのアップデート推奨、named.confの設定による回避策も

DNSサーバソフト「BIND 9.x」に、サービス停止につながる重大な脆弱性が存在する。問題を修正した新バージョンへのアップデートが推奨される。

» 2012年10月10日 14時56分 公開
[高橋睦美,@IT]

 米Internet Systems Consortium(ISC)は10月9日、DNSサーバソフト「BIND 9.x」に、サービス停止につながる重大な脆弱性が存在することを明らかにし、問題を修正した新バージョンへのアップデートを呼び掛けた。これを受けて、日本レジストリサービス(JPRS)も注意喚起を行っている。

 ISCによると、脆弱性が存在するのはBIND 9.2以降のすべてのバージョン。リソースレコード(RR)の取り扱いに不具合があり、細工を施した、特定の組み合わせのRDATAを読み込むと、namedがハングアップしてしまう。

 問題なのは、こうしてハングアップしたnamedを回復させるには、いったん強制終了/再起動するしかないこと。加えて、リモートから攻撃可能なこと、キャッシュDNSサーバと権威DNSサーバの双方が対象となることから、ISCは、この脆弱性の深刻度を「重大(Critical)」と評価。JPRSも「影響は大きい」とし、パッチの適用を強く推奨している。

 対策は、修正を施したパッチバージョンであるBIND 9.9.1-P4/9.8.3-P4/9.7.6-P4/9.6-ESV-R7-P4、もしくは新バージョンのBIND 9.9.2/9.8.4/9.7.7/9.6-ESV-R8にアップデートすることだ。アップデートが困難な場合は、BIND 9の設定ファイル(named.conf)で、「minimal-responses」オプションを「yes」に設定することで回避できるという。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。