「BIND 9」にメモリ消費の脆弱性 - 関係機関が即時対応を推奨
DNSサーバ「BIND 9」に、リモートより攻撃可能となる脆弱性「CVE-2013-2266」が判明した。開発元であるInternet Systems Consortium(ISC)や、日本レジストリサービス(JPRS)など関係機関が対応を呼びかけている。
UNIX系の「BIND 9.7」以降において、libdnsライブラリ内に実装上の問題が存在。正規表現の処理で過度にメモリを消費してメモリ不足に陥り、サーバの異常動作や停止につながるおそれがあるという。
影響を受けるのは、「同9.7.x」のほか、「同9.8.0」から「同9.8.5b1」「同9.9.0」から「9.9.3b1」。「同9.6-ESV」「同10」およびWindows版は影響を受けない。
リモートより攻撃が可能で、権威サーバおよびキャッシュサーバの双方が影響を受けることから、緊急性が高いとして、専門機関では、即時対応することを推奨。脆弱性を修正した「同9.9.2-P2」「同9.8.4-P2」へのアップデートや、回避策の実施を呼びかけている。
また、「libdnsライブラリ」を使用する他プログラムにも影響があるとして、「BIND 9」を利用していないユーザーにも注意を促している。
(Security NEXT - 2013/03/27 )
ツイート
PR
関連記事
「MongoDB」に脆弱性「MongoBleed」 - 「PoC」公開、早急に対応を
メール転送エージェント「Exim」に脆弱性 - 「クリティカル」評価も
「Apache NiFi」の「Asana」連携の一部処理にRCE脆弱性
ワークフローツール「n8n」に今月3件目の「クリティカル」脆弱性
「IBM API Connect」に認証回避の脆弱性 - 暫定修正を提供
Fortinet「FortiOS」既知脆弱性の悪用を確認 - 認証回避のおそれ
Atlassian、前月更新で脆弱性46件を修正 - クリティカル9件含むも影響は限定的
NVIDIAのAI基盤「NeMo Framework」に複数脆弱性 - 修正版が公開
「Trend Micro Apex One」のEDR機能に脆弱性 - パッチは2026年1月に公開
約4万件の脆弱性から分析、2025年の危険な「脆弱性タイプ」トップ25
