JVNVU#94007830
ISC BIND 9 に複数の脆弱性
ISC BIND 9 には、サービス運用妨害 (DoS) の原因となる複数の脆弱性が存在します。
影響を受けるシステムのバージョンは脆弱性によって異なります。
- BIND 9.0.x から 9.8.x
- BIND 9.9.0 から 9.9.6
- BIND 9.10.0 から 9.10.1
- BIND 9.10.0 から 9.10.1
委譲 (delegation) の処理における欠陥の悪用により ISC BIND が異常終了させられる - CVE-2014-8500
ゾーン設定を細工した DNS サーバに対して問い合わせを行わせることで、DNSサーバのシステム資源を過度に消費させることが可能です。
GeoIP 機能が有効な ISC BIND が異常終了させられる - CVE-2014-8680
ISC BIND 9.10 以降に導入された GeoIP 機能を有効にしている場合、ISC BIND を異常終了させられる可能性があります。GeoIP 機能はコンパイル時の設定で有効にすることが可能ですが、初期状態では無効となっています。
遠隔の第三者によって、DNS サーバのシステム資源を過度に消費させられたり、サービスを停止させられたりする可能性があります。
アップデートする
ISC が提供する情報 (CVE-2014-8500, CVE-2014-8680) をもとに最新版へアップデートしてください。
各脆弱性が修正されたバージョンは下記の通りです。
CVE-2014-8500
- BIND 9.10.1-P1
- BIND 9.9.6-P1
- BIND 9.10.1-P1
| ベンダ | リンク |
| Internet Systems Consortium | CVE-2014-8500: A Defect in Delegation Handling Can Be Exploited to Crash BIND |
| CVE-2014-8680: Defects in GeoIP features can cause BIND to crash |
2014.12.09における脆弱性分析結果(CVSS Base Metrics)
| 評価尺度 | 評価値 | 説明 | ||
|---|---|---|---|---|
| 攻撃元区分(AV) | ローカル (L) | 隣接 (A) | ネットワーク (N) | ネットワーク経由でリモートから攻撃可能 |
| 攻撃条件の複雑さ(AC) | 高 (H) | 中 (M) | 低 (L) | 攻撃成立に必要な条件はない |
| 攻撃前の認証要否(Au) | 複数 (M) | 単一 (S) | 不要 (N) | 認証は不要 |
| 機密性への影響(C) | なし (N) | 部分的 (P) | 全面的 (C) | 情報は漏えいしない |
| 完全性への影響(I) | なし (N) | 部分的 (P) | 全面的 (C) | 情報の正確さや完全さは損なわれない |
| 可用性への影響(A) | なし (N) | 部分的 (P) | 全面的 (C) | システムの使用が全面的に阻害される |
Base Score:7.8
分析結果のコメント
この CVSS の評価は CVE-2014-8500 に基づいて行ったものです。
| JPCERT 緊急報告 |
JPCERT-AT-2014-0050 ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2014-8500) に関する注意喚起 |
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2014-8500 |
|
CVE-2014-8680 |
|
| JVN iPedia |
- 2015/01/05
- 株式会社バッファローのベンダステータスが更新されました
- 2015/01/09
- ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
