「BIND 9」にアップデート - DoS脆弱性4件を修正

Internet Systems Consortium（ISC）は、DNSサーバ「BIND 9」のアップデートをリリースした。脆弱性やバグの修正などを行っている。

「BIND 9.20.0」「同9.18.28」において、リモートより悪用が可能である4件の脆弱性に対処したことを明らかにしたもの。アドバイザリを公開した時点で、いずれも悪用は確認されていないという。

具体的には、TCP経由で悪意あるクライアントより多数のDNSメッセージを受信した際に動作が不安定となり、サービス拒否に陥るおそれがある「CVE-2024-0760」を修正。

同じホスト名に対して多数のリソースレコードを持つ権威DNSサーバやキャッシュDNSサーバにおいて、クエリの処理速度が約100倍遅くなるおそれがある「CVE-2024-1737」に対応した。

さらにDNSSECにおいて、「SIG(0)」署名が付いたリクエストを送信することでキャッシュDNSサーバのCPUリソースを枯渇させ、サービス拒否を引き起こすことが可能となる「CVE-2024-1975」、アサーションエラーが発生し、予期せずサービスが終了するおそれがある「CVE-2024-4076」を解消している。

いずれも共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.5」と評価されており、重要度を4段階中、上から2番目にあたる「高（High）」とレーティングしている。

（Security NEXT - 2024/07/24 ） ツイート

PR

関連記事

サポート詐欺被害、個人情報含む業務用端末が遠隔操作 - 宮崎日大学園
「偽警告」相談が2割増 - 「フィッシング」関連は1.5倍に
住民向け土石流異常通知メール、試験配信でメアド流出 - 静岡県
ゼロデイ攻撃の調査結果、一部流出もPW含まず - TOKAIコミュニケーションズ
カーテン通販サイトで決済アプリ改ざん - 個人情報流出の可能性
Atlassian、前月のアップデートで脆弱性のべ34件に対処
悪用される「SmarterMail」脆弱性 - 侵害調査や最新ビルドへの更新を
「MS Office」にゼロデイ脆弱性、すでに悪用も - アップデートを公開
顧客にフィッシングメール、予約システム侵害か - HOTEL CYCLE
提出先に誤ったメアド、職員や家族の個人情報が第三者に - 農水省