「BIND 9」に3件の脆弱性 - RCEやDoS攻撃のおそれ

「BIND 9」にリモートでコードを実行されたり、サービス拒否に陥るおそれがある脆弱性が判明した。アップデートが提供されている。

重要度が「高（High）」とレーティングされている「CVE-2021-25216」「CVE-2021-25215」や、「中（Medium）」とされる「CVE-2021-25214」など、あわせて3件の脆弱性が明らかとなったもの。アップデートのリリース時点で、いずれも悪用は確認されていない。

共通脆弱性評価システム「CVSSv3.1」のベーススコアが「8.1」で3件中もっとも高い「CVE-2021-25216」は、「GSS-TSIG」の認証処理に明らかとなったバッファオーバーフローの脆弱性。

デフォルト設定では影響を受けないものの、特定の環境下でリモートより脆弱性が悪用されるおそれがあり、32bit環境では任意のコード実行が可能になるという。また64bit、32bit環境のいずれも異常終了するおそれがある。リモートよりコード実行されるおそれがない64bit版では、CVSS値が「7.4」とやや低めに評価されている。

（Security NEXT - 2021/04/30 ） ツイート

PR

関連記事

「Spring Cloud Gateway Server Webflux」に情報漏洩の脆弱性
機械学習フレームワーク「Keras」に深刻な脆弱性 - 8月の更新で修正
「LANSCOPE」エンドポイント管理製品に脆弱性 - 4月以降、攻撃を観測
プロキシサーバ「Squid」に認証情報が漏洩する深刻な脆弱性
「MS Edge」にアップデート - セーフブラウジング関連の脆弱性を解消
「Chrome」のセーフブラウジングに脆弱性 - 修正版が公開
「ConnectWise Automate」に悪用リスク高い脆弱性 - 早急に対応を
Cisco製IPフォンや侵入検知エンジン「Snort 3」などに脆弱性
Ruijie製ブリッジ「RG-EST300」に非公開SSH - 修正予定なし
バッファロー製Wi-Fiルータ「WXR9300BE6Pシリーズ」に脆弱性