「BIND 9」にアップデート - DoS脆弱性4件を修正

Internet Systems Consortium（ISC）は、DNSサーバ「BIND 9」のアップデートをリリースした。脆弱性やバグの修正などを行っている。

「BIND 9.20.0」「同9.18.28」において、リモートより悪用が可能である4件の脆弱性に対処したことを明らかにしたもの。アドバイザリを公開した時点で、いずれも悪用は確認されていないという。

具体的には、TCP経由で悪意あるクライアントより多数のDNSメッセージを受信した際に動作が不安定となり、サービス拒否に陥るおそれがある「CVE-2024-0760」を修正。

同じホスト名に対して多数のリソースレコードを持つ権威DNSサーバやキャッシュDNSサーバにおいて、クエリの処理速度が約100倍遅くなるおそれがある「CVE-2024-1737」に対応した。

さらにDNSSECにおいて、「SIG(0)」署名が付いたリクエストを送信することでキャッシュDNSサーバのCPUリソースを枯渇させ、サービス拒否を引き起こすことが可能となる「CVE-2024-1975」、アサーションエラーが発生し、予期せずサービスが終了するおそれがある「CVE-2024-4076」を解消している。

いずれも共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.5」と評価されており、重要度を4段階中、上から2番目にあたる「高（High）」とレーティングしている。

（Security NEXT - 2024/07/24 ） ツイート

PR

関連記事

「Cortex XSOAR」「XSIAM」向け「CommvaultSecurityIQ」連携に脆弱性
台車においた患者情報含む書類が所在不明に - 埼玉病院
「ドットマネー」などにサイバー攻撃 - サービスが一時停止
スポーツ教室当選者宛てメールで誤送信 - 取消機能で再発
バス会社サイトにDDoS攻撃 - 閲覧障害が発生
「Langflow」にRCE脆弱性 - フロー共有環境に影響
「Joomla」向け編集ツール「JCE」、脆弱性悪用に注意
「MariaDB」に複数脆弱性 - アップデートで修正
「Firefox」にアップデート - 脆弱性40件を修正
フィッシング報告が23％増 - 約9割が独自ドメイン名を利用