「BIND 9」に3件の脆弱性 - RCEやDoS攻撃のおそれ

「BIND 9」にリモートでコードを実行されたり、サービス拒否に陥るおそれがある脆弱性が判明した。アップデートが提供されている。

重要度が「高（High）」とレーティングされている「CVE-2021-25216」「CVE-2021-25215」や、「中（Medium）」とされる「CVE-2021-25214」など、あわせて3件の脆弱性が明らかとなったもの。アップデートのリリース時点で、いずれも悪用は確認されていない。

共通脆弱性評価システム「CVSSv3.1」のベーススコアが「8.1」で3件中もっとも高い「CVE-2021-25216」は、「GSS-TSIG」の認証処理に明らかとなったバッファオーバーフローの脆弱性。

デフォルト設定では影響を受けないものの、特定の環境下でリモートより脆弱性が悪用されるおそれがあり、32bit環境では任意のコード実行が可能になるという。また64bit、32bit環境のいずれも異常終了するおそれがある。リモートよりコード実行されるおそれがない64bit版では、CVSS値が「7.4」とやや低めに評価されている。

（Security NEXT - 2021/04/30 ） ツイート

PR

関連記事

「Avast Antivirus」macOS版に脆弱性 - RCEやDoSのおそれ
「MS Edge」にアップデート - 脆弱性14件を解消
「Langflow」に未修正脆弱性、緩和策を - 報告者「修正が後回し」
深刻な「React」脆弱性、米当局が悪用に注意呼びかけ
解析ライブラリ「Apache Tika」に深刻なXXE脆弱性 - コア部分も更新を
「React」脆弱性、実証コード公開 - 悪用リスクが上昇
「GitLab」に複数の脆弱性 - アップデートで修正
「Chrome 143」を公開 - 重要度「高」4件含む脆弱性13件に対応
「Next.js」にセキュリティアップデート - 「React」脆弱性が影響
「Apache HTTPD」にアップデート - 脆弱性5件を解消