「BIND 9」に脆弱性、9.3.0以降の全バージョンに影響

　Internet Systems Consortium（ISC）が開発・提供するDNSソフト「BIND 9」において、DoS攻撃が可能になる脆弱性（CVE-2015-8704）が見つかったとして、株式会社日本レジストリサービス（JPRS）などが20日、注意喚起を出した。

　文字列のフォーマット処理に不具合があり、不正なレコードを受け取った際の内部処理においてnamedが異常終了を起こすというもの。遠隔からのDoS攻撃に悪用される可能性がある。

　ISCでは、深刻度を“高（High）”とレーティング。これを修正したパッチバージョンとして、9.10系列の「9.10.3-P3」、9.9系列の「9.9.8-P3」を公開した。

　脆弱性はバージョン「9.3.0」以降のすべてのバージョンに影響し、キャッシュDNSサーバーサーバー（フルリゾルバー）と権威DNSサーバーの両方が対象となることから、JPRSでは、BIND 9の運用者に対してバージョンアップを強く推奨。パッチバージョンへの更新あるいは各ディストリビューションベンダーからリリースされるパッチの適用を速やかに行うよう呼び掛けている。

　なお、ISCでは「9.8」以前のバージョンはサポートを終了しており、パッチバージョンはリリースされない。

　9.10系列については、これとは別のDoS攻撃が可能になる脆弱性（CVE-2015-8705）もあり、同じく9.10.3-P3で修正している。こちらはdebug loggingを有効にしている場合にnamedが異常終了を起こすというもので、深刻度は“中（Medium）”。