「BIND 9」に5件の脆弱性 - 一部脆弱性は公開済み
DNSサーバの「BIND 9」に5件の脆弱性が明らかとなった。アップデートがリリースされている。
バージョンによって影響を受ける脆弱性は異なるが、4段階中3番目にあたる「中(Moderate)」とされる脆弱性4件や、「低(Low)」とされる1件など、あわせて5件が明らかとなった。
重要度が「中」とされる脆弱性は、「native-pkcs11」を有効化している場合に、細工したリクエストでクラッシュするおそれがある「CVE-2020-8623」や、不完全なTSIG署名の応答を確認した際にアサーションエラーが生じるおそれがある脆弱性「CVE-2020-8622」など、いずれもサービス拒否を引き起こすおそれがある。悪用は確認されていないが、リモートから悪用されるおそれがある。
またサブドメインの更新ポリシーが、「zonesub」のゾーン内すべてに対して適用される脆弱性「CVE-2020-8624」が判明した。攻撃者がゾーンに含まれるサブドメインの更新権限を持つ場合に、ゾーン全体に対しても更新を行うおそれがある。
共通脆弱性評価システム「CVSSv3」のスコアは「3.9」で重要度は「低(Low)」とされており、脆弱性の悪用は確認されていないが、すでに公開されている。
脆弱性の指摘を受けてInternet Systems Consortium(ISC)では、「BIND 9.17.4」「同9.16.6」「同9.11.22」をリリース。利用者に注意を呼びかけている。
(Security NEXT - 2020/08/21 )
ツイート
PR
関連記事
相次ぐ脆弱性の悪用、ゼロデイ攻撃も - 悪用リスト登録が週明け以降7件
「NVIDIA runx」に脆弱性 - サポート終了により修正予定なし
「SolarWinds WHD」に複数の深刻な脆弱性 - アップデートで修正
「Ivanti EPMM」にゼロデイ脆弱性、悪用確認 - パッチ適用や侵害調査を
Windows環境の「Symfony」でシェル経由処理に問題 - 破壊的操作のおそれ
JavaScriptサンドボックスのnpmライブラリ「SandboxJS」に深刻な脆弱性
NVIDIAのGPUディスプレイドライバに複数脆弱性 - 修正版が公開
米当局、Fortinet製品のゼロデイ攻撃に対する侵害調査などを呼びかけ
「OpenSSL」に重要度「高」含む12件の脆弱性 - アップデートで修正
セキュリティアップデート「Firefox 147.0.2」が公開
