【注意喚起】BIND 9における複数の脆弱性について(2019年2月)(2019.2.27更新)
BIND 9における複数の脆弱性について,JPCERT/CC より以下のとおり注意喚起がございましたので,お知らせいたします.
2019年2月22日 ネームサーバ管理者の方々へ 一般社団法人日本ネットワークインフォメーションセンター BIND 9における複数の脆弱性について(2019年2月) 2019年2月21日(現地時間)、BIND 9に存在する脆弱性の情報がISC (Internet Systems Consortium)から公開されました。 脆弱性の一つ目は、特殊な細工されたパケットによって named がメモリリー クを起こすというものです。 脆弱性の二つ目は、managed-keys オプションで指定するトラストアンカーに、 サポートしていないアルゴリズムの鍵があった場合、その鍵へロールオーバー しようとすると例外が発生しnamedが停止するというものです。 脆弱性の三つ目は、書き込み可能なDLZ(Dynamically Loadable Zones)に対し て正しくアクセスコントロールが働かないというものです。 いずれの脆弱性においても回避策は提供されておらず、修正されたバージョン への更新が推奨されます。 ご参考までに、アナウンスの原文へのリンクを以下に掲載します。管理者の 皆さまにおかれましては、ネームサーバソフトウェアのご確認など適切な処 置をお願いいたします。 記 □ CVE-2018-5744: 特殊な細工されたパケットによって named がメモリリー クを起こす この脆弱性は、特定の組み合わせのEDNSオプションが含まれたメッセージを処 理する際にメモリリークを起こすというものです。この脆弱性によって攻撃者 はnamedの使用するメモリを増加させることが可能です。そのためnamedが確保 可能な上限までメモリを消費してしまう可能性があります。 ○ 影響を受けるバージョン 9.10.7 ? 9.10.8-P1 9.11.3 ? 9.11.5-P1 9.12.0 ? 9.12.3-P1 9.10.7-S1 ? 9.11.5-S3 9.13.0 ? 9.13.6 □ CVE-2018-5745: managed-keys を使用しているときにサポートしていない アルゴリズムの鍵へトラストアンカーをロールオーバーしようとすると例 外が発生する "managed-keys" は DNSSEC検証に用いる鍵を指定する機能です。その managed-keys 機能の不具合により、サポートされていないアルゴリズムの鍵 にロールオーバーしようとすると例外が発生しnamedが終了してしまうという ものです。この脆弱性はサポートされていないアルゴリズムの鍵を設定する必 要があるため、リモートからの攻撃は困難なものと考えられます。 しかし、最近のバージョンではいくつかのアルゴリズムのサポートが削除され たため、意図せずこの不具合を発生させる可能性はあります。具体的には以下の 通りです。 * BIND 9.13.1 で GOST のサポートを削除 * BIND 9.13.4 で DSA のサポートを削除 * 将来の BIND 9.13 ブランチにおいて RSAMD5 のサポートを削除予定 ○ 影響を受けるバージョン 9.9.0 ? 9.10.8-P1 9.11.0 ? 9.11.5-P1 9.12.0 ? 9.12.3-P1 9.9.3-S1 ? 9.11.5-S3 9.13.0 ? 9.13.6 (9.9.0 以前のバージョンは検証されていません) □ CVE-2019-6465: 書き込み可能なDLZにおいてゾーン転送の制限が有効にな らない この脆弱性はDLZ (Dynamically Loadable Zone)が書き込み可能な状態のとき に、ゾーン転送の制限が正しく適用されないというものです。そのため、 allow-transfer によるアクセス制限を行っていても、許可されていないクラ イアントがゾーン転送の受信が可能になります。 ○ 影響を受けるバージョン 9.9.0 ? 9.10.8-P1 9.11.0 ? 9.11.5-P2 9.12.0 ? 9.12.3-P2 9.9.3-S1 ? 9.11.5-S3 9.13.0 ? 9.13.6 (9.9.0 以前のバージョンは検証されていません) □ ISCからのアナウンス CVE-2018-5744: A specially crafted packet can cause named to leak memory https://kb.isc.org/docs/cve-2018-5744 CVE-2018-5745: An assertion failure can occur if a trust anchor rolls over to an unsupported key algorithm when using managed-keys https://kb.isc.org/docs/cve-2018-5745 CVE-2019-6465: Zone transfer controls for writable DLZ zones were not effective https://kb.isc.org/docs/cve-2019-6465 □ 脆弱性が修正されたバージョンとダウンロードページ BIND 9.11.5-P4 BIND 9.12.3-P4 BIND 9.11.5-S5 https://www.isc.org/downloads/ □ 参考 * CVE https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5744 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5745 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6465 * JPRS ■(緊急)BIND 9.xの脆弱性(メモリリークの発生)について (CVE-2018-5744) - フルリゾルバー(キャッシュDNSサーバー)/ 権威DNSサーバーの双方が対象、バージョンアップを強く推奨 - https://jprs.jp/tech/security/2019-02-22-bind9-vuln-edns-options.html ■BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2018-5745) - バージョンアップを推奨 - https://jprs.jp/tech/security/2019-02-22-bind9-vuln-managed-keys.html ■BIND 9.xの脆弱性(アクセス制限の不具合によるゾーンデータの流出) について(CVE-2019-6465) - バージョンアップを推奨 - https://jprs.jp/tech/security/2019-02-22-bind9-vuln-dlz.html * JPCERT/CC ISC BIND 9 に対する複数の脆弱性 (CVE-2018-5744, CVE-2018-5745, CVE-2019-6465) に関する注意喚起 https://www.jpcert.or.jp/at/2019/at190009.html
