株式会社日本レジストリサービス(JPRS)は10月21日、BIND 9.xの脆弱性(DNSサービスの停止)について注意喚起を発表した。2013年5月以前にリリースされたBIND 9の9.9系列:9.9.0~9.9.3rc1およびこれ以外の系列:9.1.0~9.8.5rc1が対象となり、フルリゾルバ(キャッシュDNSサーバ)・権威DNSサーバの双方が対象となる。この脆弱性(CVE-2016-2848)は、2013年5月にバグ修正済の項目が外部から攻撃可能であったと判明したことによるものであり、ISCからリリースされている最新版のBIND 9は対象とならない。この脆弱性は、パケットの処理に不具合があり、不正なオプションを伴った問い合わせを受け取った際、namedが異常終了を起こす障害が発生する。これによりDNSサービスが停止する可能性がある。ISCでは、本脆弱性の深刻度(Severity)を「高(High)」と評価している。JPRSでは解決策として、本脆弱性を修正したパッチバージョン(BIND 9.11.0/9.10.4-P3/9.9.9-P3)への更新、あるいは各ディストリビューションベンダからリリースされる更新を適用することを挙げている。
![[セキュリティ ホットトピック] 「第四次産業革命」に向けた個人情報のあり方、経産省検討開始 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/21397.jpg)
