Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「BIND 9」のダイナミックDNS機能に脆弱性 - 10月の次期アップデートで対応予定

「BIND 9」のダイナミックDNS機能における更新ルールにおいて、リモートより悪用できる脆弱性「CVE-2018-5741」が含まれていることがわかった。

Internet Systems Consortium(ISC)によれば、今回明らかとなった「CVE-2018-5741」は、ダイナミックDNS機能のアップデートルールに起因する脆弱性。攻撃者がサーバ上のレコードを操作できる場合に限り、リモートより悪用できる。重要度は「中(Medium)」。

同ソフトウェアのダイナミックDNS機能における「update-policy」のルール「krb5-subdomain」「ms-subdomain」について、管理者向けドキュメントで実際よりも厳しく制限できると誤解させる記述が見つかったという。脆弱性の悪用は確認されていないが、すでに公開されている。

今回の問題を受けてISCでは、緩和策をアナウンス。10月に予定している次回のメンテナンスリリース「同9.12.3」「同9.11.5」で、ドキュメントに記載された動作を実装するほか、2種類のルールタイプ「krb5-selfsub」「ms-selfsub」を追加することで対応する予定。

(Security NEXT - 2018/09/20 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

SAP、1月の月例パッチをリリース - 深刻な脆弱性へ対処
「Apache Tomcat」にソースコード漏洩のおそれ - 11月更新版で修正済み
トレンドの法人向けエンドポイント製品に複数脆弱性 - CVSS値が最高値の脆弱性も
ウェブアプリ脆弱性診断ツールにSSRF検査機能追加 - ビットフォレスト
Adobeがアップデートを公開 - 7製品に脆弱性
MS、2021年最初の月例セキュリティパッチを公開 - 一部で悪用も
「SKYSEA Client View」のインストーラに脆弱性 - 最新版の利用を
「Microsoft Edge 87.0.664.75」がリリース - 脆弱性13件を修正
脆弱性に対処した「Thunderbird 78.6.1」をリリース
PHPにセキュリティ更新 - 「PHP 7.4.14」「同7.3.26」が公開