Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

BINDに脆弱性や不具合が判明 - Windows版のインストーラにも

「BIND 9」の特定条件下で無限ループが生じるなど複数の脆弱性が含まれていることが明らかになった。Internet Systems Consortium(ISC)や日本レジストリサービス(JPRS)など関係機関では注意を呼びかけている。

20170615_is_001.jpg

「CVE-2017-3140」は、「RPZ(Response Policy Zones)」を有効化している場合に影響を受ける脆弱性。

リモートより攻撃が可能で、一定の条件下で無限ループの状態に陥り、サービスの性能低下や特定の権威DNSサーバに対して連続でパケットを送信するといった問題を引き起こすおそれがある。重要度は「中(Medium)」。

さらにWindows版「BIND 9」のインストーラに、深刻な脆弱性が明らかになった。パスの指定に問題があり、ローカルユーザーにおいて権限の昇格が可能になるという。

同脆弱性の重要度は「深刻(Critical)」。すでにインストール済みの「BIND 9」そのものは、同脆弱性の影響を受けないとしている。

いずれの脆弱性も「同9.11.1-P1」「同9.10.5-P1」「同9.9.10-P1」で修正された。

またこれら脆弱性にくわえ、「同9.11.x」においてSymasの「LMDB(Lightning Memory-mapped Database)」を組み込んだ際、不具合が発生することが判明。

「LMDB」をインストールした環境でBINDをコンパイルすると、「LMDB」を自動的に組み込むようデフォルトで設定されているという。

同環境において一部オプションを有効化すると不具合が生じることが判明しており、ISCでは7月から8月にかけてリリースを計画している「同9.11.2」で修正する予定だという。

ISCや関係機関では、アップデートを実施して脆弱性を解消したり、回避策を講じるよう注意を呼びかけている。

(Security NEXT - 2017/06/15 ) このエントリーをはてなブックマークに追加

PR

関連記事

ADパスワード管理ツールの脆弱性、APT攻撃で悪用 - 米当局が注意喚起
Apple、「iOS 15」「iPadOS 15」をリリース - 脆弱性22件を修正
Windowsのゼロデイ脆弱性、開発会社狙う攻撃で発見 - 検体公開後は試行増加
EC-CUBE用プラグイン「注文ステータス一括変更プラグイン」に脆弱性 - 利用中止を
CMSの「Drupal」に5件の脆弱性 - アップデートがリリース
「Apache Tomcat」にDoS攻撃受けるおそれ - 3月の更新で修正済み
SAP、複数の深刻な脆弱性を修正するアップデート - CVSS値が最高値の脆弱性も
「Citrix ShareFile」にアクセス制御不備の脆弱性 - 早急に更新を
Adobe、「ColdFusion」「AEM」など16製品にセキュリティ更新
Google、「Chrome 93.0.4577.82」を公開 - ゼロデイ脆弱性2件などを解消