Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

BIND 9に深刻な複数脆弱性 - DoS攻撃を受ける可能性

BIND 9に異常終了に陥る2件の深刻な脆弱性が含まれていることがわかった。Internet Systems Consortium(ISC)やセキュリティ機関では、アップデートを呼びかけている。

「OPENPGPKEYリソースレコード」の取り扱いに脆弱性「CVE-2015-5986」が見つかったもので、不正なレコードを応答すると異常終了するおそれがある。深刻度は「クリティカル」。

対象は「同9.10.2」「同9.9.7」で、キャッシュDNSサーバ(フルリゾルバ)、権威DNSサーバのいずれも影響を受ける。「OPENPGPKEYリソースレコード」を利用していない場合も影響があり、回避策は存在しない。

また「CVE-2015-5722」は、「DNSKEYリソースレコード」の処理に存在する脆弱性。不正なリクエストを受信すると異常終了するおそれがある。深刻度は「クリティカル」にレーティングされている。

「同9.0.0」以降のすべてのバージョンが対象で、DNSSEC検証を有効化しているDNSキャッシュサーバ(フルサービスリゾルバ)のほか、権威DNSサーバに関しても影響を受ける可能性がある。 DNSSEC検証機能を無効化することで攻撃を回避することが可能。

ISCではこれら脆弱性を修正した「同9.9.7-P3」「同9.10.2-P4」を公開。日本レジストリサービス(JPRS)がアップデートを強く推奨するなど、関連機関が注意喚起を行っている。

(Security NEXT - 2015/09/03 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

QNAP、アドバイザリ4件を公開 - 「QTS」の深刻な脆弱性など解消
「BIND 9」に複数脆弱性 - 影響範囲広く緊急対応を
「BIND 9」に複数の脆弱性 - アップデートが公開
「BIND 9」に複数の脆弱性 - 異常終了のおそれ
「BIND 9」にサービス拒否の脆弱性 - アップデートが公開
DNSサーバ「BIND」に6件の脆弱性 - アップデートがリリース
「BIND」の「DNS over HTTPS」に脆弱性 - DoS攻撃のおそれ
「BIND 9」に複数の脆弱性 - サービス拒否やキャッシュ汚染のおそれ
米Transmit SecurityのPWレス認証製品を国内展開 - ラック
リゾルバの「BIND 9」にDoS攻撃受けるおそれ - アップデートや回避策が公開

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.