BINDに脆弱性や不具合が判明 - Windows版のインストーラにも

「BIND 9」の特定条件下で無限ループが生じるなど複数の脆弱性が含まれていることが明らかになった。Internet Systems Consortium（ISC）や日本レジストリサービス（JPRS）など関係機関では注意を呼びかけている。

「CVE-2017-3140」は、「RPZ（Response Policy Zones）」を有効化している場合に影響を受ける脆弱性。

リモートより攻撃が可能で、一定の条件下で無限ループの状態に陥り、サービスの性能低下や特定の権威DNSサーバに対して連続でパケットを送信するといった問題を引き起こすおそれがある。重要度は「中（Medium）」。

さらにWindows版「BIND 9」のインストーラに、深刻な脆弱性が明らかになった。パスの指定に問題があり、ローカルユーザーにおいて権限の昇格が可能になるという。

同脆弱性の重要度は「深刻（Critical）」。すでにインストール済みの「BIND 9」そのものは、同脆弱性の影響を受けないとしている。

いずれの脆弱性も「同9.11.1-P1」「同9.10.5-P1」「同9.9.10-P1」で修正された。

またこれら脆弱性にくわえ、「同9.11.x」においてSymasの「LMDB（Lightning Memory-mapped Database）」を組み込んだ際、不具合が発生することが判明。

「LMDB」をインストールした環境でBINDをコンパイルすると、「LMDB」を自動的に組み込むようデフォルトで設定されているという。

同環境において一部オプションを有効化すると不具合が生じることが判明しており、ISCでは7月から8月にかけてリリースを計画している「同9.11.2」で修正する予定だという。

ISCや関係機関では、アップデートを実施して脆弱性を解消したり、回避策を講じるよう注意を呼びかけている。

（Security NEXT - 2017/06/15 ）ツイート