CVE-2016-0728

シンジです。外部からの攻撃が可能で、BIND 9.3.0以降の全てのバージョンのBIND 9.xが影響を受ける脆弱性が確認されました。この脆弱性により、意図しないサービスの停止が発生する可能性があります。

ソースはこちら

(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2015-8704)
http://jprs.jp/tech/security/2016-01-20-bind9-vuln-stringformat.html

CVE-2015-8704: Specific APL data could trigger an INSIST in apl_42.c | Internet Systems Consortium Knowledge Base
https://kb.isc.org/article/AA-01335

深刻度

高いと評価されています。

一時的な回避策

ありません。

解決策

パッチ(BIND 9.10.3-P3/9.9.8-P3)への更新、あるいは各ディストリビューションベンダーからリリースされる更新を適用してください。

利用中のバージョン確認方法

rpm -qa|grep ^bind
rpm -q bind --qf '%{name}-%{version}-%{release}n'

パッチの入手先

パッケージが待てない場合は以下からダウンロード可能です

BIND 9.10.3-P3
https://ftp.isc.org/isc/bind9/9.10.3-P3/bind-9.10.3-P3.tar.gz

BIND 9.9.8-P3
https://ftp.isc.org/isc/bind9/9.9.8-P3/bind-9.9.8-P3.tar.gz

ちなみに9.10系は別の脆弱性がある

CVE-2015-8705で、DoS攻撃が可能となりますが、9.10.3-P3で修正済み、また深刻度は中とされています。

元記事はこちら

【緊急】BIND 9.xの脆弱性 CVE-2015-8704