BIND 9.10.0にDoSにつながる脆弱性、通常の問い合わせで発生する可能性も修正版へのアップデートやプリフェッチ機能の無効化を推奨

「BIND 9.10.0」のプリフェッチ機能に、DoS攻撃につながる恐れのある脆弱(ぜいじゃく)性が存在する。問題を修正したセキュリティフィックスへのアップデートやプリフェッチ機能の無効化といった対策が推奨されている。

» 2014年05月09日 21時20分 公開
[高橋睦美@IT]

 オープンソースのDNSサーバーソフトウェア「BIND 9.10.0」に、DoS攻撃につながる恐れのある脆弱(ぜいじゃく)性(CVE-2014-3214)があることが、米国時間の2014年5月8日に明らかにされた。開発元のInternet Systems Consortium(ISC)は、問題を修正した「BIND 9.10.0-P1」をリリースし、早期のアップデートを呼び掛けている。

 この脆弱性は、BIND 9.10で実装された「プリフェッチ(prefetch)」機能に存在する。プリフェッチ機能は、名前解決のパフォーマンス向上を目的に、キャッシュ済みのリソースレコードをキャッシュの満了前に自動的に再検索する、いわば先読みする機能だが、その実装に問題がある。BIND 9.10.0をキャッシュDNSサーバーとして利用している場合に、特定の属性を持つ応答を返すような問い合わせ処理を行うと、namedがクラッシュし、サービスが異常終了してしまう。

 日本レジストリサービス(JPRS)の情報によると、この脆弱性は、外部からの意図的なDoS攻撃につながる恐れがある他、通常の問い合わせ処理においても発生する可能性がある。現に、この脆弱性による障害事例が複数報告されているという。

 対策は、脆弱性を修正したBIND 9.10.0-P1にアップデートすることだ。もし速やかなアップデートが困難な場合は、設定ファイル(named.conf)においてprefetchオプションに「0」を設定し、プリフェッチ機能を無効にすることで、影響を回避できるという。なおBIND 9.10.0では、プリフェッチ機能はデフォルトで有効に設定されている。

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。