Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

BINDに脆弱性や不具合が判明 - Windows版のインストーラにも

「BIND 9」の特定条件下で無限ループが生じるなど複数の脆弱性が含まれていることが明らかになった。Internet Systems Consortium(ISC)や日本レジストリサービス(JPRS)など関係機関では注意を呼びかけている。

20170615_is_001.jpg

「CVE-2017-3140」は、「RPZ(Response Policy Zones)」を有効化している場合に影響を受ける脆弱性。

リモートより攻撃が可能で、一定の条件下で無限ループの状態に陥り、サービスの性能低下や特定の権威DNSサーバに対して連続でパケットを送信するといった問題を引き起こすおそれがある。重要度は「中(Medium)」。

さらにWindows版「BIND 9」のインストーラに、深刻な脆弱性が明らかになった。パスの指定に問題があり、ローカルユーザーにおいて権限の昇格が可能になるという。

同脆弱性の重要度は「深刻(Critical)」。すでにインストール済みの「BIND 9」そのものは、同脆弱性の影響を受けないとしている。

いずれの脆弱性も「同9.11.1-P1」「同9.10.5-P1」「同9.9.10-P1」で修正された。

またこれら脆弱性にくわえ、「同9.11.x」においてSymasの「LMDB(Lightning Memory-mapped Database)」を組み込んだ際、不具合が発生することが判明。

「LMDB」をインストールした環境でBINDをコンパイルすると、「LMDB」を自動的に組み込むようデフォルトで設定されているという。

同環境において一部オプションを有効化すると不具合が生じることが判明しており、ISCでは7月から8月にかけてリリースを計画している「同9.11.2」で修正する予定だという。

ISCや関係機関では、アップデートを実施して脆弱性を解消したり、回避策を講じるよう注意を呼びかけている。

(Security NEXT - 2017/06/15 ) このエントリーをはてなブックマークに追加

PR

関連記事

Oracle、Java SEに関する脆弱性22件を修正
Oracle、定例アップデートで252件の脆弱性に対応 - 半数弱が「緊急」または「重要」
バリオセキュア、ウェブのセキュリティ診断サービスを開始
「Apache Tomcat」脆弱性の探索行為、10月10日ごろより発生
無線LANの「WPA2」で盗聴や改ざん可能となる「KRACK」 - 多数機器に影響
Windows、10月パッチで「KRACK」対応済み - MS「悪用可能性低い」
「Flash Player」が緊急アップデート - ゼロデイ攻撃が発生
「Flash Player」へのゼロデイ攻撃、「BlackOasis」が関与か - 「FinFisher」感染狙い
ハンモックのIT管理製品「AssetView」に複数の脆弱性
「MQX RTOS」にRCEなど複数の脆弱性