「BIND 9」に4件のDoS脆弱性、うち3件は全バージョンが対象 -INTERNET Watch INTERNET WatchセキュリティLAN機器ストレージビジネスソフト会計・業務ソフト教育/子ども地図/位置情報IoT仕事/ビジネスサービスソフトウェア通信業界動向イベントネットの話題カテゴリ検索記事を探す閉じるINTERNET Watch をフォローする Special Site アクセスランキング1時間24時間1週間1カ月もっと見るもっと見るもっと見るもっと見る 最新記事 ノートPCで1733MbpsのWi-Fiを利用可能! 15.6型「m-Book K690」シリーズ、マウスコンピューターが発売、6コアCore-i7搭載5月25日 15:10「PUBG」の1時間プレイを強要するランサムウェアを4月に確認、要求に従っても正常に復号できるとは限らず??キヤノンITS調査5月25日 14:2110GBASE-T対応スイッチが3万3000円!ギガビット対応の48/24/16/8ポートも、NTT-X Storeで特価販売中5月25日 12:34iNTERNET magazine Rebootデジタル時代の法整備も進んでいる5月25日 11:35今日は何の日5月25日:ファイル交換ソフトによる情報漏えいが深刻化5月25日 08:05 Impress Watch人気記事 おすすめ記事もはや、もっといい選択肢はある! 鳴り物入りで日本上陸した「Google Wifi」のメッシュを試す家中どこでも死角なし! 「Google Wifi」ついに国内発売、Google製のメッシュ対応Wi-Fiルーター家中どこでもWi-Fiがつながるメッシュ対応の11acルーター、ASUS「Lyra mini」 INTERNET Watchトピックセキュリティ脆弱性/修正パッチ
ニュース「BIND 9」に4件のDoS脆弱性、うち3件は全バージョンが対象岩崎 宰守2017年1月12日 16:37 Internet Systems Consortium(ISC)が開発・提供するDNSソフト「BIND 9」において、いずれも実装上の不具合により、namedに対する外部からのサービス運用妨害(DoS)攻撃が可能となる4件の脆弱性が存在するとして、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)や株式会社日本レジストリサービス(JPRS)が12日、注意喚起を出した。 この脆弱性を修正したバージョン「9.11.0-P2」「9.10.4-P5」「9.9.9-P5」がISCから11日にリリースされており、BIND 9の運用者に対して、これら修正済みバージョンへの更新または各ディストリビューションベンダーからリリースされる更新の適用を速やかに実施するよう推奨している。 4件の脆弱性のうち、「CVE-2016-9131」および「CVE-2016-9444」は、namedに対する外部からのDoS攻撃により、意図しないサービス停止が発生する可能性がある。いずれもフルリゾルバー(キャッシュDNSサーバー)の機能が有効にされている環境のみ影響を受ける。 これ以外でも、「9.8.5」??「9.8.8」のほか、前者が「9.4.0」??「9.6-ESV-R11-W1」、後者が「9.6-ESV-R9」??「9.6-ESV-R11-W1」が影響を受けるが、ISCでは9.8以前の系列のBIND 9のサポートを終了しており、これらに対するセキュリティパッチはリリースされない。 「CVE-2016-9147」は、DNSSEC検証に関する処理の不具合により、namedに対する外部からのDoS攻撃が可能となる。矛盾するDNSSEC関連のRRSetを含む応答を受け取った際の内部処理において、namedが異常終了を起こす障害が発生する。フルリゾルバー(キャッシュDNSサーバー)の機能が有効にされている環境のみ影響を受け、DNSSEC検証機能が無効化されていても影響を受ける。 「CVE-2016-9778」は、「nxdomain-redirect」オプションが指定されている環境のみ影響を受けるもので、nxdomain-redirectオプションにより、自身が権威を持つゾーンが指定されていた場合、本機能に該当する問い合わせを処理する際にnamedが異常終了を起こす障害が発生するもの。影響を受けるのは9.11系列のみ。 ISCでは4件の脆弱性について、深刻度を「高(High)」と評価。いずれも共通脆弱性評価システムCVSS v3のスコアは7.5。関連リンク JPCERT/CCによる注意喚起 DNS関連技術情報(JPRS) ISCのセキュリティアドバイザリ「CVE-2016-9131」(英文) ISCのセキュリティアドバイザリ「CVE-2016-9147」(英文) ISCのセキュリティアドバイザリ「CVE-2016-9444」(英文) ISCのセキュリティアドバイザリ「CVE-2016-9778」(英文) 関連記事「BIND 9」にDoS脆弱性、全バージョンのキャッシュDNSサーバーが対象2016年11月2日2013年5月以前の「BIND 9」にDoS脆弱性、修正前のコードをベースにした製品に現在でも影響2016年10月21日警察庁、BIND 9の脆弱性を標的とする攻撃活動を観測、アップデートの適用を2016年10月7日「BIND 9」全バージョンに深刻なDoS脆弱性、パケット1つでnamed異常終了2016年9月28日
Group site linksインプレスのビジネスWebThink ITWeb担当者Forumインプレス総合研究所IT LeadersFind-ITSmartGridフォーラムネットショップ担当者フォーラムImpress Business LibraryインプレスセミナーDIGITAL X(デジタルクロス)インプレスの本と雑誌DOS/V POWER REPORTデジタルカメラマガジンインプレスブックスimpress QuickBooksインプレスR&DNextPublishingIMPRESS INNOVATION LABRittor Musicリットーミュージック雑誌Web楽器探そう!デジマート耳マンMdNMdN Design InteractiveMdNのデザイン求人情報山と溪谷社ヤマケイオンラインCLIMBING-netMtSN本サイトのご利用についてお問い合わせ編集部へのご連絡プライバシーについて会社概要インプレスグループ特定商取引法に基づく表示Copyright 〓2018Impress Corporation. All rights reserved.