Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「BIND 9.x」にサービス拒否の脆弱性 - 早急にパッチ適用を

「BIND 9.x」にサービス不能の脆弱性が含まれていることがわかった。リモートからDoS攻撃が可能で、Internet Systems Consortium(ISC)や日本レジストリサービス(JPRS)では注意を呼びかけている。

今回判明したのは、キャッシュデータの取り扱いに起因する不具合「CVE-2012-3817」。DNSSEC検証機能を有効にした状態で、大量のDNSSEC検証要求を受け取った際、異常終了する可能性があるという。同機能を無効にしている場合は、影響を受けない。

さらに「BIND 9.9.x」については、大量のTCP問い合わせ受信時においてメモリリークが発生する別の脆弱性「CVE-2012-3868」が判明。同脆弱性は権威サーバ、キャッシュサーバのいずれも影響があり、DNSSEC検証機能を無効にしている場合もサービス拒否が発生する可能性がある。

脆弱性の判明を受けて、ISCや日本レジストリサービスでは、バージョンアップや修正パッチの適用をできるだけ早く実施するよう呼びかけている。

(Security NEXT - 2012/07/25 ) このエントリーをはてなブックマークに追加

PR

関連記事