BIND 9.xにDoSにつながる脆弱性、すでに攻撃も発生：修正版へのアップデートを強く推奨

[高橋睦美，＠IT]

　Internet Systems Consortium（ISC）は米国時間の2013年7月26日、DNSサーバの「BIND 9.x」に、DoS攻撃につながる脆弱性が存在することを明らかにし、修正版へのアップデートを呼び掛けた。すでに、この脆弱性を悪用した攻撃が複数報告されているという。

　脆弱性が存在するのは、オープンソース版では9.7.0〜9.7.7、9.8.0〜9.8.5-P1、9.8.6b1、9.9.0〜9.9.3-P1、9.9.4b1。サブスクリプション版では9.9.3-S1、9.9.4-S1b1。リソースレコード（RR）の取り扱いに不具合があり、細工を施したRDATAを含むクエリを受け取るとDNSサーバデーモンであるnamedがクラッシュし、サービスが停止する恐れがある。

　対策は、脆弱性を修正したBIND 9.8.5-P2／9.9.3-P2／9.9.3-S1-P1（サブスクリプション版）にアップデートすること。なおISCでは、9.7以前の系列についてはサポートを終了しており、セキュリティパッチはリリースされない。また残念ながら、アクセスコントロール（ACL）の設定変更などで一時的に攻撃を回避することもできないという。

　この脆弱性はBIND 9系の多くのバージョンが対象となり、リモートから悪用可能な上に、インターネットに直接接続していないものも含め、キャッシュ／権威DNSサーバの両方が影響を受ける。しかも、すでに複数の攻撃が報告されている一方で、アップデート以外の対処方法はない。これを踏まえISCや日本レジストリサービス（JPRS）、JPCERT/CCでは、修正版へのアップデートを強く推奨している。