シンジです。外部からの攻撃が可能で、BIND 9.3.0以降の全てのバージョンのBIND 9.xが影響を受ける脆弱性が確認されました。この脆弱性により、意図しないサービスの停止が発生する可能性があります。
ソースはこちら
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2015-8704)
http://jprs.jp/tech/security/2016-01-20-bind9-vuln-stringformat.html
CVE-2015-8704: Specific APL data could trigger an INSIST in apl_42.c | Internet Systems Consortium Knowledge Base
https://kb.isc.org/article/AA-01335
深刻度
高いと評価されています。
一時的な回避策
ありません。
解決策
パッチ(BIND 9.10.3-P3/9.9.8-P3)への更新、あるいは各ディストリビューションベンダーからリリースされる更新を適用してください。
利用中のバージョン確認方法
rpm -qa|grep ^bind
rpm -q bind --qf '%{name}-%{version}-%{release}n'
パッチの入手先
パッケージが待てない場合は以下からダウンロード可能です
BIND 9.10.3-P3
https://ftp.isc.org/isc/bind9/9.10.3-P3/bind-9.10.3-P3.tar.gz
BIND 9.9.8-P3
https://ftp.isc.org/isc/bind9/9.9.8-P3/bind-9.9.8-P3.tar.gz
ちなみに9.10系は別の脆弱性がある
CVE-2015-8705で、DoS攻撃が可能となりますが、9.10.3-P3で修正済み、また深刻度は中とされています。
