ISC BIND 9 には、トラストアンカーの管理において、特定の条件下で named が終了する、サービス運用妨害 (DoS) の脆弱性が存在します。 ISC のアドバイザリには次のように記載されています。 CVE-2015-1349: A Problem with Trust Anchor Management Can Cause named to Crash https://kb.isc.org/article/AA-01235/ "BIND servers which are configured to perform DNSSEC validation and which are using managed-keys (which occurs implicitly when using "dnssec-validation auto;" or "dnssec-lookaside auto;") may terminate with an assertion failure when encountering all of the following conditions in a managed trust anchor: *a key which was previously trusted is now flagged as revoked; *there are no other trusted keys available; *there is a standby key, but it is not trusted yet This situation results in termination of the named process and denial of service to clients, and can occur in two circumstances: *during an improperly-managed key rollover for one of the managed trust anchors (e.g., during a botched root key rollover), or *when deliberately triggered by an attacker, under specific and limited circumstances. ISC has demonstrated a proof-of-concept of this attack; however, the complexity of the attack is very high unless the attacker has a specific network relationship to the BIND server which is targeted"

[アップデートする] ISC が提供する情報をもとに、以下のバージョンにアップデートしてください。 　　　* BIND 9.9.6-P2 　　　* BIND 9.10.1-P2 開発者から Development Version のアップデートとして以下のバージョンが提供されています。 　　　* BIND 9.9.7rc2 　　　* BIND 9.10.2rc2 [ワークアラウンドを実施する] 次のワークアラウンドを実施することで、本脆弱性の影響を回避することが可能です。 　　　* dnssec-validation に auto を使用しない、また dnssec-lookaside のオプションで managed-keys を設定しない このワークアラウンドを実施する場合、正しい鍵を用いて trusted-keys を明示的に指定する必要があります。