2013年3月27日
ネームサーバ管理者の方々へ
社団法人日本ネットワークインフォメーションセンター
ISC BIND 9に関する脆弱性について(2013年3月)
2013年3月26日(現地時間)、 BIND 9の複数のバージョンに存在する脆弱性の情報が、 BINDを開発しているISC (Internet Systems Consortium)から公開されました。 この脆弱性は、BIND 9に存在する致命的で深刻な欠陥のため、 脆弱性情報の日本語訳やFAQも用意されています。
具体的には、 遠隔からの攻撃によってnamedおよびdigやDHCPなどlibdnsを利用するアプリケーションにメモリを大量消費させることができるという脆弱性です。 ISCによる深刻度も「重大(Critical)」とされており、この問題について、 現在、ISCから修正版が公開されています。
ご参考までに、 アナウンスの原文および日本語訳へのリンクを以下に掲載します。 管理者の皆様におかれましては、 ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。
記
ISCによって公開された脆弱性情報
- CVE-2013-2266: 不正に細工された正規表現によってnamedがメモリ不足になる [日本語]
- CVE-2013-2266: A Maliciously Crafted Regular Expression Can Cause Memory Exhaustion in named
- CVE-2013-2266: FAQ and Supplemental Information
- CVE-2013-2494: A Vulnerability in libdns Could Cause Excessive Memory Use in ISC DHCP 4.2
影響のあるバージョン
いずれも"Unix"版のみで、Windows版は影響を受けません。
- 9.7.x
- 9.8.0 ~ 9.8.5b1
- 9.9.0 ~ 9.9.3b1
なお、9.7.x はすでに "end of life" となっており、 修正の対象になっていません。 ただし、正規表現サポートを無効にすることで回避することができます。
回避策
修正済みのバージョンに更新するか、正規表現サポートを無効にし、 再コンパイルする。
修正されたバージョン
- 9.8.4-P2
- 9.9.2-P2
ISC
以上
