Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

BINDに脆弱性や不具合が判明 - Windows版のインストーラにも

「BIND 9」の特定条件下で無限ループが生じるなど複数の脆弱性が含まれていることが明らかになった。Internet Systems Consortium(ISC)や日本レジストリサービス(JPRS)など関係機関では注意を呼びかけている。

20170615_is_001.jpg

「CVE-2017-3140」は、「RPZ(Response Policy Zones)」を有効化している場合に影響を受ける脆弱性。

リモートより攻撃が可能で、一定の条件下で無限ループの状態に陥り、サービスの性能低下や特定の権威DNSサーバに対して連続でパケットを送信するといった問題を引き起こすおそれがある。重要度は「中(Medium)」。

さらにWindows版「BIND 9」のインストーラに、深刻な脆弱性が明らかになった。パスの指定に問題があり、ローカルユーザーにおいて権限の昇格が可能になるという。

同脆弱性の重要度は「深刻(Critical)」。すでにインストール済みの「BIND 9」そのものは、同脆弱性の影響を受けないとしている。

いずれの脆弱性も「同9.11.1-P1」「同9.10.5-P1」「同9.9.10-P1」で修正された。

またこれら脆弱性にくわえ、「同9.11.x」においてSymasの「LMDB(Lightning Memory-mapped Database)」を組み込んだ際、不具合が発生することが判明。

「LMDB」をインストールした環境でBINDをコンパイルすると、「LMDB」を自動的に組み込むようデフォルトで設定されているという。

同環境において一部オプションを有効化すると不具合が生じることが判明しており、ISCでは7月から8月にかけてリリースを計画している「同9.11.2」で修正する予定だという。

ISCや関係機関では、アップデートを実施して脆弱性を解消したり、回避策を講じるよう注意を呼びかけている。

(Security NEXT - 2017/06/15 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Chromium」の深刻な脆弱性、すでに悪用済み - 「MS Edge」も緊急更新
MS、「Microsoft Edge 103.0.1264.49」を公開 - ゼロデイ脆弱性に対処
「GitLab」にセキュリティアップデート - 脆弱性2件を修正
Cisco、セキュリティアドバイザリ17件を公開
ブラウザ「Chrome」に「クリティカル」の脆弱性 - 更新を
「SharePoint Server」の脆弱性悪用に要警戒 - 米当局が注意喚起
WPプラグイン「Network Summary」に深刻な脆弱性 - パッチ未提供
エレコム製無線LANルータ2機種に複数の脆弱性
エレコム製の複数無線LANルータに3件の脆弱性
「Apache Tomcat」にアップデート - 「同8.5」系は最後の更新