BIND 9.10.0にDoSにつながる脆弱性、通常の問い合わせで発生する可能性も：修正版へのアップデートやプリフェッチ機能の無効化を推奨

「BIND 9.10.0」のプリフェッチ機能に、DoS攻撃につながる恐れのある脆弱（ぜいじゃく）性が存在する。問題を修正したセキュリティフィックスへのアップデートやプリフェッチ機能の無効化といった対策が推奨されている。

[高橋睦美，＠IT]

　オープンソースのDNSサーバーソフトウェア「BIND 9.10.0」に、DoS攻撃につながる恐れのある脆弱（ぜいじゃく）性（CVE-2014-3214）があることが、米国時間の2014年5月8日に明らかにされた。開発元のInternet Systems Consortium（ISC）は、問題を修正した「BIND 9.10.0-P1」をリリースし、早期のアップデートを呼び掛けている。

　この脆弱性は、BIND 9.10で実装された「プリフェッチ（prefetch）」機能に存在する。プリフェッチ機能は、名前解決のパフォーマンス向上を目的に、キャッシュ済みのリソースレコードをキャッシュの満了前に自動的に再検索する、いわば先読みする機能だが、その実装に問題がある。BIND 9.10.0をキャッシュDNSサーバーとして利用している場合に、特定の属性を持つ応答を返すような問い合わせ処理を行うと、namedがクラッシュし、サービスが異常終了してしまう。

　日本レジストリサービス（JPRS）の情報によると、この脆弱性は、外部からの意図的なDoS攻撃につながる恐れがある他、通常の問い合わせ処理においても発生する可能性がある。現に、この脆弱性による障害事例が複数報告されているという。

　対策は、脆弱性を修正したBIND 9.10.0-P1にアップデートすることだ。もし速やかなアップデートが困難な場合は、設定ファイル（named.conf）においてprefetchオプションに「0」を設定し、プリフェッチ機能を無効にすることで、影響を回避できるという。なおBIND 9.10.0では、プリフェッチ機能はデフォルトで有効に設定されている。