Internet Systems Consortium(ISC)は、最も広く展開されているドメインネームシステム(DNS)ソフトウェアスイートの1つであるBIND 9の3つのセキュリティ脆弱性を公開しました。これらの脆弱性により、サーバーはサービス拒否(DoS)攻撃、クラッシュ、およびアクセス制御のバイパスにさらされています。
2026年3月25日に公開されたこれらの欠陥は、DNSリゾルバーと権威サーバーの両方に影響します。
悪用された場合、攻撃者はサーバーの設定に応じて、DNS性能を低下させ、サービスを中断させるか、不正アクセスを取得することができます。
CVE-2026-1519として追跡されている最も深刻な問題は、CVSSスコアが7.5と高く、過度なCPU消費を通じてサービス拒否状態を引き起こします。
この脆弱性は、BINDリゾルバーが特別に細工された悪意のあるゾーンでDNSSEC検証を実行するときにトリガーされます。
これにより、サーバーは大量のNSEC3イテレーションを処理するよう強制され、CPU使用率が大幅に増加し、正当なDNSクエリに応答するシステムの能力が低下します。
DNSSEC検証を無効にすることで悪用を防ぐことはできますが、セキュリティの専門家はDNS整合性保護を弱めるため、この回避策を強く勧めていません。代わりに、管理者は公式パッチを適用することをお勧めします。
2番目の欠陥CVE-2026-3119(CVSS 6.5)は、TKEYレコードを含む有効なDNSクエリを処理するときに、namedサーバープロセスをクラッシュさせることがあります。
悪用には、攻撃者がすでにサーバーで設定されている有効なトランザクションシグネチャ(TSIG)キーを所持していることが必要です。
これは攻撃対象領域を制限していますが、侵害または誤管理されたキーはまだ悪用される可能性があります。一時的な緩和策として、管理者は不要または信頼できないTSIGキーを監査および削除する必要があります。
3番目の脆弱性CVE-2026-3591(CVSS 5.4)は、SIG(0)処理におけるスタックアフター・リターン問題です。
この欠陥により、攻撃者はIPアドレスマッチングを操作する特別に細工されたDNSリクエストを送信することで、アクセス制御リスト(ACL)をバイパスすることができます。
デフォルト許可ACL構成を使用する環境では、これにより制限されたリソースへの不正アクセスが発生する可能性があります。ISCはこの問題に対する回避策が存在しないことを確認しており、パッチの適用は必須です。
影響を受けるバージョンは、以下を含む複数のBIND 9ブランチにまたがります:
BIND Supported Preview Editionのユーザーも、対応するS1更新をすぐに適用することをお勧めします。
開示時点では、実際の悪用の証拠はありません。ただし、BINDはグローバルインターネットインフラストラクチャにおける重要な役割を考えると、これらの脆弱性はパッチされなければ重大なリスクをもたらします。
セキュリティチームとネットワーク管理者は、デプロイされたBINDバージョンを確認し、最新のパッチ済みリリースに遅滞なくアップグレードすることを強く勧められています。
プロアクティブなパッチ管理と構成レビューは、耐性があり安全なDNS操作を維持するために必須のままです。
翻訳元: https://cyberpress.org/bind-9-vulnerabilities-allow-attackers-to-bypass-security-and-crash-servers/