【活用ガイド】

JVNDB-2007-000328

ISC BIND の query_addsoa() 関数におけるサービス運用妨害 (DoS) の脆弱性

概要

ISC が提供する BIND には、query_addsoa() 関数の呼び出しに問題があり、細工された問い合わせに応答する際にサービス運用妨害 (DoS) 攻撃を受ける脆弱性が存在します。BIND の設定で recursion を有効にしている場合にこの脆弱性の影響を受けます。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 7.1 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): なし
  • 完全性への影響(I): なし
  • 可用性への影響(A): 全面的
影響を受けるシステム


ISC, Inc.
  • BIND 9.4.0
  • BIND 9.5.0a1, 9.5.0a2, 9.5.0a3 (BIND forum member のみに公開)

想定される影響

遠隔の第三者により、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。
対策

ベンダより正式な対策が公開されています (BIND 9.4.1, BIND 9.5.0a4 で修正済み)。ベンダ情報を参照して適切な対策を実施してください。

なお回避策として、「recursion の設定を無効にする( named.conf で ‘recursion no;’ を設定する)」ことが ISC により公開されています。特に上述のアップデートを適用できないユーザは、この回避策を適用することが推奨されています。
ベンダ情報

ISC, Inc.
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2007-2241
参考情報

  1. JVN : JVNVU#718460
  2. National Vulnerability Database (NVD) : CVE-2007-2241
  3. US-CERT Vulnerability Note : VU#718460
  4. Secunia Advisory : SA25070
  5. SecurityFocus : 23738
  6. SecurityFocus : 31252
  7. FrSIRT Advisories : FrSIRT/ADV-2007-1593
更新履歴

  • [2007年05月22日]
      掲載

公表日2007/04/30
登録日2007/05/22
最終更新日2007/05/22