今回は DNS サービスを停止してしまう攻撃ができるようなので、 早速バージョンアップしました。新しいバージョンは ESV 版の BIND 9.11.8 です。
BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されました。本脆弱性により、提供者が意図しないサービスの停止が発生する可能性があります。
https://jprs.jp/tech/security/2019-06-20-bind9-vuln-malformed-packets.html
本脆弱性はBIND 9.11以降のすべての系列が影響を受けます。該当するBIND9のパッケージを利用しているユーザーは、各ディストリビューションベンダーからリリースされる情報の収集やバージョンアップなど、適切な対応を取ることを推奨します。
数千のドメイン名を運用している関係上、100%可動し続けなければなりません。バージョンアップを怠けて間を開けると、他のライブラリ類の辻褄合わなくなったりもしますし。余計大変になります。BINDに限らず、常時バージョンを追いかけていく、こういった保守は大事。
