情報処理推進機構セキュリティセンター(IPA/ISEC)とJPCERT コーディネーションセンター(JPCERT/CC)は12月2日、Internet Systems Consortium(ISC)が提供するDNSサーバ「BIND」に複数の脆弱性が確認されたと「Japan Vulnerability Notes(JVN)」で発表した。
9.6.2から9.6.2-P2、9.6-ESVから9.6-ESV-R2、9.7.0から9.7.2-P2のバージョンに存在する脆弱性は、DNSSEC署名された否定応答を受信した際のキャッシュ済みRRSIGレコードの処理が原因で、リモートからサービス拒否(DoS)攻撃を受ける可能性があり危険度が高いという。このため、該当するBIND 9を利用しているユーザーは、関連情報の収集や緊急パッチの適用など、適切な対応を取ることを強く推奨している。
9.7.2-P2には、allow-queryのアクセスコントロール処理に脆弱性が存在する。管理者が許可していないクエリが許可されてしまう可能性がある。9.0.xから9.7.2-P2、9.4-ESVから9.4-ESV-R3、9.6-ESVから9.6-ESV-R2のバージョンには、BIND namedがゾーンデータの状態を危険としてしまう可能性のある脆弱性が存在する。これらの脆弱性も、最新版へアップデートすることで解消できる。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
現場経験から生まれた建設テックアプリが
"二次元の図面管理”の救世主へ
録画したWeb会議で組織の情報共有を円滑化
営業活動に必要な機能を備えたベルフェイス
オープンスペースから小型クローズ空間まで
空気と水と光と香りで作る快適環境
MSとパートナー企業主催のハッカソンが
企業文化変革のきっかけに