Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

BINDに脆弱性や不具合が判明 - Windows版のインストーラにも

「BIND 9」の特定条件下で無限ループが生じるなど複数の脆弱性が含まれていることが明らかになった。Internet Systems Consortium(ISC)や日本レジストリサービス(JPRS)など関係機関では注意を呼びかけている。

20170615_is_001.jpg

「CVE-2017-3140」は、「RPZ(Response Policy Zones)」を有効化している場合に影響を受ける脆弱性。

リモートより攻撃が可能で、一定の条件下で無限ループの状態に陥り、サービスの性能低下や特定の権威DNSサーバに対して連続でパケットを送信するといった問題を引き起こすおそれがある。重要度は「中(Medium)」。

さらにWindows版「BIND 9」のインストーラに、深刻な脆弱性が明らかになった。パスの指定に問題があり、ローカルユーザーにおいて権限の昇格が可能になるという。

同脆弱性の重要度は「深刻(Critical)」。すでにインストール済みの「BIND 9」そのものは、同脆弱性の影響を受けないとしている。

いずれの脆弱性も「同9.11.1-P1」「同9.10.5-P1」「同9.9.10-P1」で修正された。

またこれら脆弱性にくわえ、「同9.11.x」においてSymasの「LMDB(Lightning Memory-mapped Database)」を組み込んだ際、不具合が発生することが判明。

「LMDB」をインストールした環境でBINDをコンパイルすると、「LMDB」を自動的に組み込むようデフォルトで設定されているという。

同環境において一部オプションを有効化すると不具合が生じることが判明しており、ISCでは7月から8月にかけてリリースを計画している「同9.11.2」で修正する予定だという。

ISCや関係機関では、アップデートを実施して脆弱性を解消したり、回避策を講じるよう注意を呼びかけている。

(Security NEXT - 2017/06/15 ) このエントリーをはてなブックマークに追加

PR

関連記事

バッファロー製「WCR-1166DS」にOSコマンドインジェクションの脆弱性
「Adobe Experience Manager」に脆弱性、修正パッチがリリース
「Adobe Digital Editions」に深刻な脆弱性 - スマホ版にも影響
MS、月例セキュリティ更新で「緊急」25件含む脆弱性48件を解消
「Adobe Flash Player」のセキュリティアップデートがリリース - 深刻な脆弱性へ対応
「Adobe Acrobat/Reader」が脆弱性67件を修正 - 43件が「クリティカル」
バッファロー製無線ルータにRCEの脆弱性 - 修正ファームウェアを公開
ショートカットファイルの表示だけでコード実行される脆弱性 - 旧OS含め更新など対策を
「Adobe Acrobat/Reader」に深刻な脆弱性 - 8月8日にアップデート予定
Juniper製FWの「ScreenOS」に複数のXSS脆弱性