全てのDNSサーバに脆弱性があり「遠隔の第三者によってリソース枯渇によるサービス運用妨害 (DoS) 攻撃を受ける可能性」がある模様。
詳細はJVNVU#91812636: 再帰的名前解決を行う DNS リゾルバの実装に名前解決を無限に繰り返す問題が詳しい。
Ubuntuではbind9 CVEs in UbuntuにはCVE-2014-8500が出ているが、unbound CVEs in Ubuntuはまだ無い。
10月のPOODLE騒動でも続報。TLS実装でもパディングバイトのチェックは完全ではなく、TLS実装としては機能するがエラーのチェックはできないらしい。ってどういう事?
【参照】
●INTERNET Watch http://internet.watch.impress.co.jp/
┗「BIND 9」「Unbound」「PowerDNS Recursor」全バージョンなどに大きな脆弱性 2014年12月9日
●ITpro http://itpro.nikkeibp.co.jp/
┗DNSの仕様自体に起因する重大な脆弱性が見つかる、JPRSが対策呼びかけ 2014年12月9日
●@IT http://www.atmarkit.co.jp/
┗DNSの基本仕様のあいまいさに根本原因、対策は修正版へのアップデート:「BIND 9」をはじめとする複数のDNSソフトにDoSの脆弱性 2014年12月10日
●ZDNet Japan http://japan.zdnet.com/
┣SSL 3.0の脆弱性「POODLE」について知っておくべきこと 2014年10月23日
┗SSLv3脆弱性「POODLE」、TLSにも影響--グーグルの専門家が指摘 2014年12月10日
●JPRS http://jprs.jp/
┗(緊急)複数のDNSソフトウェアにおける脆弱性(システム資源の過度な消費)について(2014年12月9日公開) 2014年12月9日
●JPCERT コーディネーションセンター https://www.jpcert.or.jp/
┗ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2014-8500) に関する注意喚起 2014年12月9日
●Japan Vulnerability Notes http://jvn.jp/
┗JVNVU#91812636: 再帰的名前解決を行う DNS リゾルバの実装に名前解決を無限に繰り返す問題 2014年12月10日
●Ubuntu http://www.ubuntu.com/
┗USN-2437-1: Bind vulnerability 2014年12月9日
●Ubuntu CVE Tracker http://people.canonical.com/~ubuntu-security/cve/
┣bind9
┗unbound
●ImperialViolet.org https://www.imperialviolet.org/
┣POODLE attacks on SSLv3 2014年10月14日
┗The POODLE bites again 2014年12月8日