概要
Internet Systems Consortium (ISC)は、広く使用されているBIND 9 Domain Name System (DNS)ソフトウェアスイートの3つの新しい脆弱性に対処するための重要なセキュリティ通知を発行しました。これらの脆弱性が修正されない場合、リモート攻撃者はアクセス制御リストをバイパスし、過度なシステムリソースを使用したり、DNSサーバー全体をクラッシュさせたりすることができます。
脆弱性の詳細
CVE-2026-1519: この最も重要な脆弱性は、BINDリゾルバが悪意のあるゾーンでDNSSEC検証を実行すると、過度なNSEC3反復を引き起こす可能性があります。これによりCPUリソースの消費が増加し、サーバーが処理できるクエリー数が大幅に減少します。
CVE-2026-3119: この脆弱性は、サーバーが有効なトランザクション署名(TSIG)を持つ適切に署名されたクエリを処理するとnamedサーバープロセスを予期せずクラッシュさせます。攻撃者は既存のキーを使用してこの脆弱性を悪用できます。
CVE-2026-3591: この脆弱性は、SIG(0)ハンドリングコードでスタック使用後の戻り値問題です。攻撃者は特別に作成されたDNSリクエストを送信して、サーバーがアクセス制御リスト(ACL)とIPアドレスの不適切なマッチングを行わせる可能性があります。
影響範囲
- CVE-2026-1519: 9.11.0から9.16.50、9.18.0から9.18.46、9.20.0から9.20.20、9.21.0から9.21.19
- CVE-2026-3119: 9.20.0から9.20.20、9.21.0から9.21.19
- CVE-2026-3591: 9.20.0から9.20.20、9.21.0から9.21.19
対策とアップデート情報
ISCは現在、これらの脆弱性に対するアクティブな攻撃を確認していません。しかし、グローバルDNSオペレーションへの潜在的な影響を考えると、組織はソフトウェアの最新バージョンにアップデートすることを最優先すべきです。ISCはサポートされているすべてのブランチでこれらの脆弱性に対処するための更新を提供しています。
ユーザーは現在の展開状況に基づいて、パッチが適用されたバージョン9.18.47、9.20.21、または9.21.20に移行することをお勧めします。また、BIND Supported Preview Editionを使用している適格な顧客は、対応するS1パッチをすぐに適用して安全で安定したDNSオペレーションを維持することが重要です。