ISC BIND 9 に対する複数の脆弱性に関する注意喚起(2017.1.12更新)
JPCERT/CC よりISC BIND 9 に対する複数の脆弱性に関する注意喚起が出ています.
BIND 9 を利用しているネームサーバの管理者は速やかに脆弱性が修正されたバージョンへ更新するようお願いします.
I. 概要
ISC BIND 9 には,複数の脆弱性があります.脆弱性を悪用された場合,リモートからの攻撃によって named が終了する可能性があります.脆弱性の詳細については,ISC 社の情報を確認してください.
Internet Systems Consortium, Inc. (ISC)
CVE-2016-9131: A malformed response to an ANY query can cause an assertion failure during recursion
https://kb.isc.org/article/AA-01439/74/CVE-2016-9131%3A-A-malformed-response-to-an-ANY-query-can-cause-an-assertion-failure-during-recursion.html
CVE-2016-9147: An error handling a query response containing inconsistent DNSSEC information could cause an assertion failure
https://kb.isc.org/article/AA-01440/74/CVE-2016-9147%3A-An-error-handling-a-query-response-containing-inconsistent-DNSSEC-information-could-cause-an-assertion-failure-.html
CVE-2016-9444: An unusually-formed DS record response could cause an assertion failure
https://kb.isc.org/article/AA-01441/74/CVE-2016-9444%3A-An-unusually-formed-DS-record-response-could-cause-an-assertion-failure.html
CVE-2016-9778: An error handling certain queries using the nxdomain-redirect feature could cause a REQUIRE assertion failure in db.c
https://kb.isc.org/article/AA-01442/74/CVE-2016-9778%3A-An-error-handling-certain-queries-using-the-nxdomain-redirect-feature-could-cause-a-REQUIRE-assertion-failure-in-db.c.html
影響を受けるバージョンの ISC BIND 9 (権威 DNS サーバ,キャッシュ DNSサーバ) を運用している場合は,「III. 対策」を参考に,修正済みバージョンの適用について検討してください.
II. 対象
ISC 社の情報によると,以下のバージョンが本脆弱性の影響を受けます.ISC 社は,各脆弱性の深刻度を,「高 (High)」と評価しています.
ISC BIND
- 9.9系列 9.9.3 から 9.9.9-P4 までのバージョン
- 9.10系列 9.10.4-P4 より以前のバージョン
- 9.11系列 9.11.0-P1 より以前のバージョン
各脆弱性について影響を受けるバージョンが異なりますので,詳細については以下の情報を参照して下さい.
BIND 9 Security Vulnerability Matrix
https://kb.isc.org/article/AA-00913/
ディストリビュータが提供している BIND をお使いの場合は,使用中のディストリビュータなどの情報を参照してください.
III. 対策
ISC 社から脆弱性を修正したバージョンの ISC BIND が公開されています.また,今後各ディストリビュータなどからも,修正済みのバージョンが提供されると思われますので,十分なテストを実施の上,修正済みのバージョンを適用することをご検討ください.
ISC BIND
- BIND 9 version 9.9.9-P5
- BIND 9 version 9.10.4-P5
- BIND 9 version 9.11.0-P2
IV. 参考情報
US-CERT
ISC Releases Security Updates for BIND
https://www.us-cert.gov/ncas/current-activity/2017/01/11/ISC-Releases-Security-Updates-BIND
株式会社日本レジストリサービス (JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-9131)
- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2017-01-12-bind9-vuln-malformed-any.html
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-9147)
- DNSSEC検証を実施していない場合も対象,バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2017-01-12-bind9-vuln-inconsistent-dnssec.html
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-9444)
- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2017-01-12-bind9-vuln-unusually-formed-ds.html
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-9778)
- nxdomain-redirectオプションを指定している場合のみ対象,バージョンアップを推奨 -
https://jprs.jp/tech/security/2017-01-12-bind9-vuln-nxdomain-redirect.html
