単一のTCPセッションにおいて複数の問い合わせ・応答を並行して処理することを、 TCPパイプラインによる処理といいます。

TCPパイプラインによる問い合わせに応答するサーバに対して、 単一のTCPクライアントが単一の接続で大量のDNS問い合わせを送った場合、 TCPクライアントの設定制限数を迂回できる可能性があります。

TCPパイプラインによる問い合わせがあった場合、 サーバーが計算処理にあらかじめ割り当てていた計算資源よりも多くの計算量を必要とすることがあります。 多くの問い合わせを並行したTCPパイプラインの接続があった場合、 該当TCPのセッション終了時に、計算資源の解放に負荷が発生し、 問い合わせへの応答が実施されないように見える可能性があります。

9.11.6-P1 ～ 9.11.12
9.12.4-P1 ～ 9.12.4-P2
9.14.1　　～ 9.14.7
9.11.5-S6 ～ 9.11.12-S1
9.15.0　　～ 9.15.5開発版系列

9.11.0 より前のバージョンは脆弱性の評価がされていません。

サーバーのTCPパイプライン接続の設定を、下記のように無効にする。

keep-response-order { any; };

その後、BINDをrestartする (reload や reconfig ではTCPパイプライン接続を適切にリセットできません)。

修正されたバージョンに更新する。

(注意)
この修正されたバージョンではサーバーのメモリリークの問題は対応されますが、 TCPパイプライン応答が一部未処理のままとなる問題は残る可能性があります。

9.11.13
9.14.8
9.15.6
9.11.13-S1

https://www.isc.org/downloads/