「BIND 9」にメモリ消費の脆弱性 - 関係機関が即時対応を推奨
DNSサーバ「BIND 9」に、リモートより攻撃可能となる脆弱性「CVE-2013-2266」が判明した。開発元であるInternet Systems Consortium(ISC)や、日本レジストリサービス(JPRS)など関係機関が対応を呼びかけている。
UNIX系の「BIND 9.7」以降において、libdnsライブラリ内に実装上の問題が存在。正規表現の処理で過度にメモリを消費してメモリ不足に陥り、サーバの異常動作や停止につながるおそれがあるという。
影響を受けるのは、「同9.7.x」のほか、「同9.8.0」から「同9.8.5b1」「同9.9.0」から「9.9.3b1」。「同9.6-ESV」「同10」およびWindows版は影響を受けない。
リモートより攻撃が可能で、権威サーバおよびキャッシュサーバの双方が影響を受けることから、緊急性が高いとして、専門機関では、即時対応することを推奨。脆弱性を修正した「同9.9.2-P2」「同9.8.4-P2」へのアップデートや、回避策の実施を呼びかけている。
また、「libdnsライブラリ」を使用する他プログラムにも影響があるとして、「BIND 9」を利用していないユーザーにも注意を促している。
(Security NEXT - 2013/03/27 )
ツイート
PR
関連記事
Kubernetes「ingress-nginx」に脆弱性 - シークレット漏洩のおそれ
「Chrome」にゼロデイ脆弱性 - Windows向けにアップデートをリリース
APTグループが「Chrome」ゼロデイ脆弱性を悪用 - リンク経由で感染
「Kentico Xperience」に複数の「クリティカル」脆弱性
「VMware Tools」のWindows版に認証回避の脆弱性
IT資産管理ソフト「AssetView」に脆弱性 - アップデートを提供
監視ツール「Pandora FMS」に複数の脆弱性 - アップデートで修正
GitHubアクション「reviewdog」で改ざん被害 - SC攻撃の起点に
Progress製ロードバランサーに脆弱性 - アップデートが公開
ストレージ仮想化ソフト「IBM Storage Virtualize」の一部プラグインに脆弱性
