【注意喚起】BIND 9における動作停止となる脆弱性について(2018年1月)(2018.1.18更新)
BIND 9における動作停止となる脆弱性について,一般社団法人日本ネットワークインフォメーションセ ンターより情報提供がありましたのでお知らせします. BIND9 を利用しているネームサーバの管理者は脆弱性の内容をご確認頂き,必要に応じて適切な処置を頂きますようお願いします.
2018年1月17日
ネームサーバ管理者の方々へ
一般社団法人日本ネットワークインフォメーションセンター
BIND 9における動作停止となる脆弱性について(2018年1月)
2018年1月16日(現地時間)、BIND 9の複数のバージョンに存在する脆弱性の情
報がISC (Internet Systems Consortium)から公開されました。
この脆弱性は、名前解決を行う際に正しくない順序でクリーンアップ処理をし
てしまうため、特定の内容の名前解決を処理する際に named がクラッシュす
る可能性があるというもので、キャッシュDNSサーバに影響があります。なお、
この脆弱性はバージョン9.0.0から存在しています。
ご参考までに、アナウンスの原文へのリンクを以下に掲載します。管理者の
皆さまにおかれましては、ネームサーバソフトウェアのご確認など適切な処
置をお願いいたします。
記
□ CVE-2017-3145: リゾルバの不適切な順序によるクリーンアップ処理によっ
てnamedが停止する
○ 概要
BINDが名前解決を行う際に、いくつかのケースにおいて正しくない順序
でフェッチのクリーンアップ処理をしてしまうため、 use-after-free
エラーが起き例外によって named がクラッシュする可能性があります。
この脆弱性はバージョン9.0.0から存在しているため、BIND 9のいずれの
バージョンにおいても修正版に更新するべきですが、ISCが実際にクラッ
シュすることを確認したのはCVE-2017-3137(*)の修正が行われている以
下のバージョンかつDNSSEC署名検証を有効にした場合であるとのことで
す。なお、クラッシュはnetaddr.c内の例外発生によって起こります。
9.9.9-P8 ~ 9.9.11
9.10.4-P8 ~ 9.10.6
9.11.0-P5 ~ 9.11.2
9.9.9-S10 ~ 9.9.11-S1
9.10.5-S1 ~ 9.10.6-S1
9.12.0a1 ~ 9.12.0rc1
(*)https://kb.isc.org/article/AA-01466/
○ 影響を受けるバージョン
9.0.0 ~ 9.8.x
9.9.0 ~ 9.9.11
9.10.0 ~ 9.10.6
9.11.0 ~ 9.11.2
9.9.3-S1 ~ 9.9.11-S1
9.10.5-S1 ~ 9.10.6-S1
9.12.0a1 ~ 9.12.0rc1
○ 回避策
上記の特定のバージョンかつDNSSEC検証を有効にしている場合にクラッ
シュが発生した場合は、一時的にDNSSEC検証を無効にすることで回避す
ることができる可能性があります。
○ 解決策
修正済みのバージョンに更新する。
○ 修正されたバージョン
9.9.11-P1
9.10.6-P1
9.11.2-P1
9.12.0rc2
9.9.11-S2
9.10.6-S2
□ ISCからのアナウンス
CVE-2017-3145: Improper fetch cleanup sequencing in the resolver
can cause named to crash
https://kb.isc.org/article/AA-01542
□ 参考
* CVE
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3145
* JPRS
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について
(CVE-2017-3145)
https://jprs.jp/tech/security/2018-01-17-bind9-vuln-improperly-sequencing-cleanup.html
* JPCERT/CC
ISC BIND 9 の脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2018/at180005.html
