BIND 9 Security Flaws Allow Attackers to Bypass Security Controls and Crash Servers
2026/03/27 gbhackers — Internet Systems Consortium が公開したのは、広く利用される BIND 9 Domain Name System (DNS) ソフトウェア・スイートにおける、3 件の深刻な脆弱性に対応するクリティカルなセキュリティ・アドバイザリである。これらの脆弱性が未修正の状態で放置されると、それを悪用するリモート攻撃者により、アクセス制御リストの回避/過剰なシステム・リソース消費/DNS サーバの完全なクラッシュなどが引き起こされる可能性がある。
これらの問題は、authoritative サーバおよび DNS リゾルバの双方に影響するため、ネットワークに深刻なリスクをもたらす。ネットワーク管理者にとって必要なことは、2026年03月25日に ISC が公開したパッチを速やかに適用し、自社のインフラを保護することだ。
CPU への高負荷とサーバ・クラッシュ
3 件の脆弱性の中で最も深刻なものは CVE-2026-1519 (CVSS:7.5:High) であり、影響の大きなサービス拒否 (DoS) を引き起こす。
BIND リゾルバが、細工されたゾーンに対して DNSSEC 検証を実行すると、過剰な NSEC3 繰り返し処理が発生する。このプロセスにより、大量の CPU リソースが消費され、サーバが処理できるクエリ数が大幅に低下してしまう。
DNSSEC 検証を無効化することで、この問題を回避することが可能であるが、セキュリティ専門家たちは、この回避策の使用を推奨していない。
2 つ目の脆弱性 CVE-2026-3119 (CVSS:6.5:Medium) は、named サーバ・プロセスの異常終了を引き起こすものだ。
この問題は、TKEY レコードを取り込むかたちで、正しく署名されたクエリを処理する際に発生する。この脆弱性を悪用する攻撃者は、サーバ・コンフィグに登録済みの、有効な TSIG (Transaction Signature) を保有している必要がある。
侵害された TSIG キーまたは不要なキーを特定して削除することで、一時的なリスク軽減が可能である。
3 つ目の脆弱性 CVE-2026-3591 (CVSS:5.4:Medium) は、SIG (0) 処理コードに存在するスタック use-after-return の欠陥である。細工された DNS リクエストを送信する攻撃者は、サーバによる IP アドレスと Access Control List (ACL) の照合を誤動作させることが可能になる。
ネットワークが default-allow ACL に依存している場合に、この脆弱性の悪用による、制限領域への不正アクセスが可能となる。この脆弱性に対する既知の回避策は存在せず、直接的なパッチ適用が唯一の対処手段となる。
| CVE ID | CVSS Score | Severity | Impact | Affected Versions |
|---|---|---|---|---|
| CVE-2026-1519 | 7.5 | High | High CPU Load (DoS) | 9.11.0 to 9.16.50, 9.18.0 to 9.18.46, 9.20.0 to 9.20.20, 9.21.0 to 9.21.19 |
| CVE-2026-3119 | 6.5 | Medium | Server Crash (DoS) | 9.20.0 to 9.20.20, 9.21.0 to 9.21.19 |
| CVE-2026-3591 | 5.4 | Medium | ACL Bypass | 9.20.0 to 9.20.20, 9.21.0 to 9.21.19 |
現時点において、これら脆弱性の実環境でのアクティブな悪用を ISC は確認していない。ただし、グローバル DNS 運用への影響を考慮すると、ユーザー組織は最新の修正バージョンへのアップグレードを優先すべきである。
ISC は、サポート対象であるブランチ全体に対して、修正アップデートを提供している。現在の環境に応じて、9.18.47/9.20.21/9.21.20 への移行が必要となる。
さらに、BIND Supported Preview Edition を使用する対象ユーザーは、対応する S1 パッチを直ちに適用する必要がある。
管理者にとって必要なことは、自身の利用ブランチを確認して適切なアップデートを適用することで悪用を防止することだ。
訳者後書:ISC (Internet Systems Consortium) が公開した、BIND 9 の 3 件の脆弱性について解説する記事です。この問題の原因は、DNSSEC の検証処理や署名付きクエリのハンドリング、そして、メモリ・アクセスの管理におけるプログラム上の不備にあります。
これらの脆弱性は、authoritative サーバとリゾルバの両方に影響を与えるため、ネットワーク全体の可用性と安全性を損なう大きなリスクとなります。すでに ISC は、これらの脆弱性を修正するアップデートを公開していますので、運用環境に合わせた 9.18.47/9.20.21/ 9.21.20 へのバージョンアップが推奨されています。ご利用のチームは、ご注意ください。よろしければ、BIND 9 での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.