"9 October 2012" 付け。(現地時間)
9.x 系に脆弱性。"Security Fixes" を見ると、"additional section " の処理で named がハングアップ [RT #31090] することがあるらしいです。
クライアントモジュールには影響しない模様。とりあえず落とします。インストールはおいおいと。
Internet Systems Consortium https://www.isc.org/software/bind/991-P4
> BIND 9.9.1-P4
リリースノート:
Internet Systems Consortium https://deepthought.isc.org/article/AA-00812/81/BIND-9.9.1-P4-Release-Notes.html
> BIND 9.9.1-P4 Release Notes
脆弱性情報:
Internet Systems Consortium https://kb.isc.org/article/AA-00801/74/CVE-2012-5166
> CVE-2012-5166: Specially crafted DNS data can cause a lockup in named
※ 影響範囲は、"9.2.x -> 9.6.x, 9.4-ESV->9.4-ESV-R5-P1, 9.6-ESV->9.6-ESV-R7-P3, 9.7.0->9.7.6-P3, 9.8.0->9.8.3-P3, 9.9.0->9.9.1-P3"
(関連)
Internet Systems Consortium ftp://ftp.isc.org/isc/bind9/9.9.1-P4/BIND9.9.1-P4.zip
> Download BIND 9.9.1-P4 BIND9.9.1-P4.zip
( VirusTotal、Detection ratio: 0 / 42 )
Internet Systems Consortium http://ftp.isc.org/isc/bind9/9.9.1-P4/BIND9.9.1-P4.zip.asc
> Download BIND 9.9.1-P4 BIND9.9.1-P4.zip.asc
Internet Systems Consortium http://www.isc.org/about/openpgp
> OpenPGP Key | Internet Systems Consortium
・・・
株式会社日本レジストリサービス(JPRS) http://jprs.jp/tech/security/2012-10-10-bind9-vuln-rr-combination.html
> (緊急)BIND 9.xの脆弱性(サービス停止)について(2012年10月10日公開)
一般社団法人 JPCERT コーディネーションセンター https://www.jpcert.or.jp/at/2012/at120033.html
> ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2012-5166) に関する注意喚起
・・・
http://d.hatena.ne.jp/TsuSUZUKI/20120913/1347499842
※ BIND 9.9.1-P3 リリース
いじょうです。
-
- -