株式会社日本レジストリサービス(JPRS)は1月25日、「BIND 9.8.x/9.9.xにおけるDNS64の実装上のバグによるnamedのサービス停止について」を発表した。これは、BIND 9.8.x/9.9.xにおけるDNS64/RPZの実装上のバグにより、namedに対する外部からのサービス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されたというもの。ISCでは、本脆弱性の深刻度(Severity)を「低(Low)」と評価している。その理由として、「本脆弱性はDNS64とRPZの双方を有効に設定している場合にのみ対象となり、該当するシステムは極めて少ないと考えられること」「本脆弱性にはシンプルかつ完全な回避策が存在すること」の2点を挙げている。「9.8系列:9.8.0~9.8.4-P1」「9.9系列: 9.9.0~9.9.2-P1」には、実装上のバグにより、DNS64とRPZの双方を有効に設定し、かつRPZによる書き換えとDNS64によるマッピングが特定の条件で競合した場合に、namedが異常終了を起こす障害が発生する(CVE-2012-5689)。ただし、デフォルトではDNS64/RPZはともにデフォルトでは無効に設定されている。JPRSでは、RPZにAレコードの書き換えルールが存在する場合、対象の名前に対するAAAAレコードの書き換えルールを併せて記述することにより、本脆弱性の影響を回避できるとしている。なお、DNS64とRPZの双方を有効に設定していない場合、またはRPZにおいて当該の書き換えルールが存在しない場合、回避策は不要としている。
