株式会社日本レジストリサービス(JPRS)は9月20日、「BIND 9.xの脆弱性(サービス提供者が意図しないDynamic Updateの許可)について(CVE-2018-5741)」の注意喚起を発表した。独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)も同日、「ISC BIND 9 の Update policy 機能の説明が実際の挙動と異なっている問題」を発表している。これは、開発元であるISCから発表されたもので、ISCでは本脆弱性の深刻度(Severity)を「中(Medium)」と評価している。同脆弱性は、BIND 9.xにおけるマニュアルの記述と実際の動作の不一致により、サービス提供者が意図しない形でDynamic Updateが許可されてしまうというもの。なお、同脆弱性は設定ファイル(通常はnamed.conf)において、update-policy機能を用いたDynamic Updateの制御を設定しており、かつ、krb5-subdomainまたはms-subdomainルールタイプを設定している場合にのみ該当する(デフォルトでは無効)。なお、同脆弱性の影響を受けるバージョンは次の通り。・9.12系列:9.12.0~9.12.2-P1・9.11系列:9.11.0~9.11.4-P1・上記以外の系列:9.0.0~9.10.8-P1ISCでは、同脆弱性の修正のためのBINDの仕様変更とマニュアルの更新を、2018年10月にリリースするバージョン(BIND 9.11.5、BIND 9.12.3)で提供すると発表している。
![[学術研究] 主要セキュリティ対策の費用対効果ランキング 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/24902.jpg)
