3月1日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
BIND 9.10.1-P2、BIND 9.9.6-P2リリース(2015/02/18)
BIND 9.10.1-P2、BIND 9.9.6-P2では、BIND 9.7.0~BIND 9.10.1-P1に存在するサービス拒否攻撃を許してしまう脆弱性(CVE-2015-1349)を解決しています。この問題は、トラストアンカーの自動更新処理の不具合に起因するもので、DNSSEC検証が有効に設定されている場合に影響があります。
このほかに、BIND 9.10.1-P2では、BIND 9.10.0-P1とBIND 9.10.0-P2で解決したサービス拒否攻撃を許してしまう脆弱性(CVE-2014-3214、CVE-2014-3859)、BIND 9.10.1-P1で解決したサービス拒否攻撃を許してしまう脆弱性(CVE-2014-8500、CVE-2014-8680)の対策が取り込まれています。BIND 9.9.6-P2では、BIND 9.9.6-P1で解決したサービス拒否攻撃を許してしまう脆弱性(CVE-2014-8500)の対策が取り込まれています。
- ISC:BIND 9 Security Vulnerability Matrix
- ISC:CVE-2015-1349: A Problem with Trust Anchor Management Can Cause named to Crash
- JPRS:BIND 9.xの脆弱性(DNSサービスの停止)について
BIND 9.10.2、BIND 9.9.7リリース(2015/02/25)
BIND 9.10.2、BIND 9.9.7は、バグの修正や改善を目的としたリリースです。
BIND 9.10.2では、BIND 9.10.1-P2で解決したトラストアンカーの自動更新処理の不具合に起因してサービス拒否攻撃を許してしまう脆弱性(CVE-2015-1349)、BIND 9.10.1-P1で解決したサービス拒否攻撃を許してしまう脆弱性(CVE-2014-8500、CVE-2014-8680)の対策が取り込まれています。
BIND 9.9.7では、BIND 9.9.6-P2で解決したトラストアンカーの自動更新処理の不具合に起因してサービス拒否攻撃を許してしまう脆弱性(CVE-2015-1349)、BIND 9.9.6-P1で解決したサービス拒否攻撃を許してしまう脆弱性(CVE-2014-8500)の対策が取り込まれています。
