過去のセキュリティ情報    middle Kyutech CSIRT Top

BIND 9 に対する複数の脆弱性に関する注意喚起 (2017.4.13更新)

JPCERT/CCより,BIND 9 に対する複数の脆弱性に関する注意喚起が出ています.

脆弱性の影響を受けるバージョンの BIND 9 を利用しているネームサーバの管理者は速やかに脆弱性が修正されたバージョンへ更新するようお願いします.


I. 概要
  ISC BIND 9 には、複数の脆弱性があります。脆弱性を悪用された場合、リモートからの攻撃によって named が終了する可能性があります。なお、ISC は、脆弱性 CVE-2017-3137 に対する深刻度を、「高 (High)」、脆弱性 CVE-2017-3136 及び CVE-2017-3138 に対する深刻度を、「中 (Medium)」、と評価しています。脆弱性の詳細については、ISC の情報を確認してください。
     Internet Systems Consortium, Inc. (ISC)
     CVE-2017-3136: An error handling synthesized records could cause an assertion failure when using DNS64 with "break-dnssec yes;"
     https://kb.isc.org/article/AA-01465/
     Internet Systems Consortium, Inc. (ISC)
     CVE-2017-3137: A response packet can cause a resolver to terminate when processing an answer containing a CNAME or DNAME
     https://kb.isc.org/article/AA-01466/
     Internet Systems Consortium, Inc. (ISC)
     CVE-2017-3138: named exits with a REQUIRE assertion failure if it receives a null command string on its control channel
     https://kb.isc.org/article/AA-01471/
    影響を受けるバージョンの ISC BIND 9 を運用している場合は、「III. 対策」を参考に、修正済みバージョンの適用について検討してください。

II. 対象
各脆弱性の影響を受けるバージョンは次のとおりです。
     - CVE-2017-3136 : 中 (Medium)
     - 9.9系列  9.9.9-P6 およびそれ以前
     - 9.10系列 9.10.4-P6 およびそれ以前
     - 9.11系列 9.11.0-P3 およびそれ以前
     - 特定のオプション ("break-dnssec yes;") を設定して DNS64 を使用している場合に対象になるとされています
     - サポートが終了している 9.8 系列も対象になるとされています
     - CVE-2017-3137 : 高 (High)
     - 9.9系列  9.9.9-P6
     - 9.10系列 9.10.4-P6
     - 9.11系列 9.11.0-P3
     - キャッシュ DNS サーバが対象になるとされている他、権威 DNS サーバで名前解決を実行している場合に対象となりうるとされています
     - CVE-2017-3138 : 中 (Medium)
     - 9.9系列  9.9.9 から 9.9.9-P7 まで
     - 9.10系列 9.10.4 から 9.10.4-P7 まで
     - 9.11系列 9.11.0-P4 およびそれ以前
     - 制御チャンネル (control channel) により遠隔から制御を受けつける場合に対象になるとされています
詳細については ISC の情報を参照してください。
    BIND 9 Security Vulnerability Matrix
    https://kb.isc.org/article/AA-00913/
    ディストリビュータが提供している BIND をお使いの場合は、使用中のディストリビュータなどの情報を参照してください。

III. 対策
  ISC から脆弱性を修正したバージョンの ISC BIND 9 が公開されています。また、今後各ディストリビュータなどからも、修正済みのバージョンが提供されると思われますので、十分なテストを実施の上、修正済みのバージョンを適用することをご検討ください。
      ISC BIND
       - BIND 9 version 9.9.9-P8
       - BIND 9 version 9.10.4-P8
       - BIND 9 version 9.11.0-P5

IV. 参考情報
        US-CERT
        ISC Releases Security Updates for BIND
        https://www.us-cert.gov/ncas/current-activity/2017/04/12/ISC-Releases-Security-Updates-BIND
        株式会社日本レジストリサービス (JPRS)
        (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3137)-バージョンアップを強く推奨-
        https://jprs.jp/tech/security/2017-04-13-bind9-vuln-cname-dname.html
        株式会社日本レジストリサービス (JPRS)
        BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3136)- 特定のオプションを設定してDNS64を使用している場合のみ対象、バージョンアップを推奨 -
        https://jprs.jp/tech/security/2017-04-13-bind9-vuln-dns64.html
        株式会社日本レジストリサービス (JPRS)
        BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3138)- バージョンアップを推奨 -
        https://jprs.jp/tech/security/2017-04-13-bind9-vuln-control-channel.html



↑

Kyutech CSIRT

© 2017 Kyutech Computer Security Incident Response Team