2015年09月02日(米国時間)、ISC より named に対してサービス不能攻撃が可能な脆弱性(CVE-2015-5986)が公表されました。
本脆弱性の対象バージョンは BIND 9.9.7 以降、また、BIND 9.10.2 以降の BIND 9 です。
( 9.9.7 -> 9.9.7-P2, 9.10.2 -> 9.10.2-P3. )
なお、ISC では 9.8 以前の BIND 9 のサポートを終了しており、本脆弱性への対応では、以下の2バージョンをリリースしています。
・BIND 9 version 9.9.7-P3
・BIND 9 version 9.10.2-P4
ISCでは本脆弱性について「重大(Critical)」と評価しています。
本脆弱性はOPENPGPKEYリソースレコードの処理の不具合によるものです。
再帰問い合わせが有効なリゾルバとして動作しているときに影響を受けます。
本脆弱性について設定等による回避策はありません。
バージョンアップの検討をお願いします。
詳細については関連情報も参照ください。