2016年1月19日(米国時間)、ISC より named に対してサービス不能攻撃が可能な脆弱性(CVE-2015-8704)が公表されました。
本脆弱性の対象バージョンは BIND 9.3 以降の BIND 9 です。
( 9.3.0 -> 9.8.8, 9.9.0 -> 9.9.8-P2, 9.9.3-S1 -> 9.9.8-S3, 9.10.0->9.10.3-P2 )
なお、ISC では 9.8 以前の BIND 9 のサポートを終了しており、本脆弱性への対応では、以下の2バージョンをリリースしています。
・BIND 9 version 9.9.8-P3
・BIND 9 version 9.10.3-P3
※ 9.10.3-P3 では CVE-2015-8704 の他、CVE-2015-8705 への対応も行われています。
ISCでは本脆弱性について「高(High)」と評価しています。
本脆弱性は文字列フォーマットの操作処理の不具合によるもので、不正な形式のレコードを受け取った場合にnamedの異常終了が発生します。
本脆弱性について設定等による回避策はありません。
バージョンアップの検討をお願いします。
詳細については関連情報も参照ください。