サイバーインシデントがなくなるその日まで

JPCERT Coordination Center

powered by Yahoo! JAPAN

  • このサイト内を検索
  • ウェブ全体を検索

ISC BIND 9 に対する複数の脆弱性に関する注意喚起

最終更新: 2017-04-13 
各位

                                                   JPCERT-AT-2017-0016
                                                             JPCERT/CC
                                                            2017-04-13

                  <<< JPCERT/CC Alert 2017-04-13 >>>

            ISC BIND 9 に対する複数の脆弱性に関する注意喚起

            https://www.jpcert.or.jp/at/2017/at170016.html


I. 概要
ISC BIND 9 には、複数の脆弱性があります。脆弱性を悪用された場合、リモー
トからの攻撃によって named が終了する可能性があります。
なお、ISC は、脆弱性 CVE-2017-3137 に対する深刻度を、「高 (High)」、脆
弱性 CVE-2017-3136 及び CVE-2017-3138 に対する深刻度を、「中 (Medium)」、
と評価しています。脆弱性の詳細については、ISC の情報を確認してください。

    Internet Systems Consortium, Inc. (ISC)
    CVE-2017-3136: An error handling synthesized records could cause an assertion failure when using DNS64 with "break-dnssec yes;"
    https://kb.isc.org/article/AA-01465/

    Internet Systems Consortium, Inc. (ISC)
    CVE-2017-3137: A response packet can cause a resolver to terminate when processing an answer containing a CNAME or DNAME
    https://kb.isc.org/article/AA-01466/

    Internet Systems Consortium, Inc. (ISC)
    CVE-2017-3138: named exits with a REQUIRE assertion failure if it receives a null command string on its control channel
    https://kb.isc.org/article/AA-01471/

影響を受けるバージョンの ISC BIND 9 を運用している場合は、「III. 対策」
を参考に、修正済みバージョンの適用について検討してください。


II. 対象
各脆弱性の影響を受けるバージョンは次のとおりです。

 - CVE-2017-3136 : 中 (Medium)
   - 9.9系列  9.9.9-P6 およびそれ以前
   - 9.10系列 9.10.4-P6 およびそれ以前
   - 9.11系列 9.11.0-P3 およびそれ以前
   - 特定のオプション ("break-dnssec yes;") を設定して DNS64 を使用し
     ている場合に対象になるとされています
   - サポートが終了している 9.8 系列も対象になるとされています

 - CVE-2017-3137 : 高 (High)
   - 9.9系列  9.9.9-P6
   - 9.10系列 9.10.4-P6
   - 9.11系列 9.11.0-P3
   - キャッシュ DNS サーバが対象になるとされている他、権威 DNS サーバ
     で名前解決を実行している場合に対象となりうるとされています

 - CVE-2017-3138 : 中 (Medium)
   - 9.9系列  9.9.9 から 9.9.9-P7 まで
   - 9.10系列 9.10.4 から 9.10.4-P7 まで
   - 9.11系列 9.11.0-P4 およびそれ以前
   - 制御チャンネル (control channel) により遠隔から制御を受けつける場
     合に対象になるとされています

詳細については ISC の情報を参照してください。

    BIND 9 Security Vulnerability Matrix
    https://kb.isc.org/article/AA-00913/

ディストリビュータが提供している BIND をお使いの場合は、使用中の
ディストリビュータなどの情報を参照してください。


III. 対策
ISC から脆弱性を修正したバージョンの ISC BIND 9 が公開されています。
また、今後各ディストリビュータなどからも、修正済みのバージョンが提供さ
れると思われますので、十分なテストを実施の上、修正済みのバージョンを適
用することをご検討ください。

  ISC BIND
   - BIND 9 version 9.9.9-P8
   - BIND 9 version 9.10.4-P8
   - BIND 9 version 9.11.0-P5


IV. 参考情報
    US-CERT
    ISC Releases Security Updates for BIND
    https://www.us-cert.gov/ncas/current-activity/2017/04/12/ISC-Releases-Security-Updates-BIND

    株式会社日本レジストリサービス (JPRS)
    (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3137)- バージョンアップを強く推奨 -
    https://jprs.jp/tech/security/2017-04-13-bind9-vuln-cname-dname.html

    株式会社日本レジストリサービス (JPRS)
    BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3136)- 特定のオプションを設定してDNS64を使用している場合のみ対象、バージョンアップを推奨 -
    https://jprs.jp/tech/security/2017-04-13-bind9-vuln-dns64.html

    株式会社日本レジストリサービス (JPRS)
    BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3138)- バージョンアップを推奨 -
    https://jprs.jp/tech/security/2017-04-13-bind9-vuln-control-channel.html


今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡
ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: [email protected]
TEL:03-3518-4600       FAX: 03-3518-4602
https://www.jpcert.or.jp/

Topへ

緊急情報を確認する

おすすめ情報

OSZAR »