「BIND 9」にメモリ消費の脆弱性 - 関係機関が即時対応を推奨
DNSサーバ「BIND 9」に、リモートより攻撃可能となる脆弱性「CVE-2013-2266」が判明した。開発元であるInternet Systems Consortium(ISC)や、日本レジストリサービス(JPRS)など関係機関が対応を呼びかけている。
UNIX系の「BIND 9.7」以降において、libdnsライブラリ内に実装上の問題が存在。正規表現の処理で過度にメモリを消費してメモリ不足に陥り、サーバの異常動作や停止につながるおそれがあるという。
影響を受けるのは、「同9.7.x」のほか、「同9.8.0」から「同9.8.5b1」「同9.9.0」から「9.9.3b1」。「同9.6-ESV」「同10」およびWindows版は影響を受けない。
リモートより攻撃が可能で、権威サーバおよびキャッシュサーバの双方が影響を受けることから、緊急性が高いとして、専門機関では、即時対応することを推奨。脆弱性を修正した「同9.9.2-P2」「同9.8.4-P2」へのアップデートや、回避策の実施を呼びかけている。
また、「libdnsライブラリ」を使用する他プログラムにも影響があるとして、「BIND 9」を利用していないユーザーにも注意を促している。
(Security NEXT - 2013/03/27 )
ツイート
PR
関連記事
「Adobe Acrobat/Reader」にゼロデイ脆弱性 - 悪用を確認、緊急更新を
感染確認ツール「EmoCheck」に脆弱性 - Emotet収束、利用停止を
「抹茶シリーズ」に脆弱性、アップデートで修正 - OSS版は動作検証用
Palo Alto、「Cortex XSOAR」など複数製品で脆弱性を修正
「Chrome 147」が公開 - 「クリティカル」2件含む多数脆弱性を修正
開発ツール「GitLab」にセキュリティ更新 - 脆弱性12件を修正
「IBM Verify Identity Access」に脆弱性 - アップデート実施を
米当局、「Ivanti EPMM」脆弱性の悪用で米行政機関へ緊急対応を要請
「SonicWall SMA1000」に権限昇格など複数脆弱性 - 修正版を公開
「SonicWall Email Security」に複数脆弱性 - アップデートを呼びかけ
