Internet Systems Consortium(ISC)は、広く使用されているBIND 9 ドメインネームシステム(DNS)ソフトウェアスイートの3つの新しい脆弱性に対処する重大なセキュリティ勧告を発表しました。
パッチが適用されない場合、遠隔の攻撃者はこれらの弱点を悪用してアクセス制御リストをバイパスし、過度なシステムリソースを消費したり、DNSサーバー全体をクラッシュさせたりする可能性があります。
ネットワーク管理者は、権限のあるサーバーとDNSリゾルバーの両方に影響を与えるこれらの問題から自社のインフラストラクチャを保護するために、提供されているパッチを直ちに適用する必要があります。
2026年3月25日にISCによって公開されたこれらの欠陥は、ネットワーク管理者に対して深刻なリスクをもたらします。
高いCPU負荷とサーバークラッシュ
3つの脆弱性の中で最も重大なのはCVE-2026-1519で、サービス妨害(DoS)の状態を引き起こす可能性のある高度な重大度の欠陥です。
BINDリゾルバーが悪意を持って作成されたゾーンに対してDNSSEC検証を実行する場合、過度なNSEC3反復がトリガーされます。
このプロセスは大量のCPUリソースを消費し、サーバーが処理できるクエリの数を急激に減少させます。
DNSSEC検証を無効にするとこの問題を防ぐことができますが、セキュリティ専門家はこの回避策の使用を強く推奨していません。
CVE-2026-3119として追跡される別の中程度の重大度の脆弱性は、namedサーバープロセスが予期せずクラッシュする原因となります。
これは、サーバーがTKEYレコードを含む正しく署名されたクエリを処理するときに発生します。この欠陥を正常に悪用するには、攻撃者はサーバーの設定ですでに宣言されているキーから有効なトランザクション署名(TSIG)を所持している必要があります。
管理者は、侵害されているか不要なTSIGキーを特定して削除することで、このリスクを一時的に軽減することができます。
3番目の脆弱性であるCVE-2026-3591は、SIG(0)処理コードで見つかった中程度の重大度のスタック使用後戻り欠陥です。
特別に細工されたDNSリクエストを送信することで、攻撃者はサーバーをIPアドレスをそのアクセス制御リスト(ACL)に対して不適切にマッチングするように操作できます。
ネットワークがデフォルト許可ACLに依存している場合、この欠陥は制限されたエリアへの不正なアクセスを許可する可能性があります。
この特定の脆弱性については既知の回避策がないため、直接的なパッチ適用が唯一のソリューションです。
| CVE ID | CVSSスコア | 重大度 | 影響 | 影響を受けるバージョン |
|---|---|---|---|---|
| CVE-2026-1519 | 7.5 | 高 | 高いCPU負荷(DoS) | 9.11.0~9.16.50、9.18.0~9.18.46、9.20.0~9.20.20、9.21.0~9.21.19 |
| CVE-2026-3119 | 6.5 | 中 | サーバークラッシュ(DoS) | 9.20.0~9.20.20、9.21.0~9.21.19 |
| CVE-2026-3591 | 5.4 | 中 | ACLバイパス | 9.20.0~9.20.20、9.21.0~9.21.19 |
現在、ISCはこれらの脆弱性の野生での活発な悪用について認識していません。
しかし、グローバルDNS操作への潜在的な影響を考慮すると、組織はソフトウェアを最新のパッチ版にアップグレードすることを優先すべきです。
ISCは、これらの脆弱性に完全に対処するために、サポートされているすべてのブランチ全体で更新を発行しました。
現在のデプロイに応じて、ユーザーはパッチされたバージョン9.18.47、9.20.21、または9.21.20に移行する必要があります。
さらに、BIND Supported Preview Editionを使用する対象の顧客は、セキュアで安定したDNS操作を維持するために、対応するS1パッチを直ちに適用する必要があります。
管理者は、アクティブなブランチを確認し、悪用を防ぐために適切なアップデートを適用することをお勧めします。
翻訳元: https://gbhackers.com/bind-9-security-flaws/
