-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2019-0009 JPCERT/CC 2019-02-22(新規) 2019-02-26(更新) <<< JPCERT/CC Alert 2019-02-22 >>> ISC BIND 9 に対する複数の脆弱性 (CVE-2018-5744, CVE-2018-5745, CVE-2019-6465) に関する注意喚起 https://www.jpcert.or.jp/at/2019/at190009.html I. 概要 ISC BIND 9 には、複数の脆弱性があります。脆弱性を悪用された場合、リモー トからの攻撃によって named プロセスがメモリを際限なく使用し、結果として named が終了するなどの可能性があります。 なお、ISC は、脆弱性 CVE-2018-5744 に対する深刻度を、「高 (High)」、脆弱 性 CVE-2018-5745 及び CVE-2019-6465 に対する深刻度を、「中 (Medium)」、 と評価しています。脆弱性の詳細については、ISC の情報を確認してください。 Internet Systems Consortium, Inc. (ISC) CVE-2018-5744: A specially crafted packet can cause named to leak memory https://kb.isc.org/docs/cve-2018-5744 Internet Systems Consortium, Inc. (ISC) CVE-2018-5745: An assertion failure can occur if a trust anchor rolls over to an unsupported key algorithm when using managed-keys https://kb.isc.org/docs/cve-2018-5745 Internet Systems Consortium, Inc. (ISC) CVE-2019-6465: Zone transfer controls for writable DLZ zones were not effective https://kb.isc.org/docs/cve-2019-6465 影響を受けるバージョンの ISC BIND 9 を運用している場合は、「III. 対策」 を参考に、修正済みバージョンの適用について検討してください。 II. 対象 脆弱性の影響を受けるバージョンは次のとおりです。 - CVE-2018-5744 - 9.12系列 9.12.0 から 9.12.3-P1 まで - 9.11系列 9.11.3 から 9.11.5-P1 まで - CVE-2018-5745 - 9.12系列 9.12.0 から 9.12.3-P1 まで - 9.11系列 9.11.0 から 9.11.5-P1 まで - CVE-2019-6465 - 9.12系列 9.12.0 から 9.12.3-P2 まで - 9.11系列 9.11.0 から 9.11.5-P2 まで ※既にサポートが終了している 9.9系及び 9.10系も各脆弱性の影響を受ける とのことです。 詳細については ISC の情報を参照してください。 ** 更新: 2019年 2月26日追記 ****************************************** 上記脆弱性のうち、CVE-2018-5744 については、9.9系は対象外となります。 ********************************************************************** BIND 9 Security Vulnerability Matrix https://kb.isc.org/docs/aa-00913 ディストリビュータが提供している BIND をお使いの場合は、使用中の ディ ストリビュータなどの情報を参照してください。 III. 対策 ISC から脆弱性を修正したバージョンの ISC BIND 9 が公開されています。 また、今後各ディストリビュータなどからも、修正済みのバージョンが提供さ れると思われますので、十分なテストを実施の上、修正済みのバージョンを適 用することをご検討ください。 - BIND 9 version 9.12.3-P4 IV. 参考情報 株式会社日本レジストリサービス (JPRS) (緊急)BIND 9.xの脆弱性(メモリリークの発生)について(CVE-2018-5744) - フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、バージョンアップを強く推奨 - https://jprs.jp/tech/security/2019-02-22-bind9-vuln-edns-options.html 株式会社日本レジストリサービス (JPRS) BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2018-5745)- バージョンアップを推奨 - https://jprs.jp/tech/security/2019-02-22-bind9-vuln-managed-keys.html 株式会社日本レジストリサービス (JPRS) BIND 9.xの脆弱性(アクセス制限の不具合によるゾーンデータの流出)について(CVE-2019-6465) - バージョンアップを推奨 - https://jprs.jp/tech/security/2019-02-22-bind9-vuln-dlz.html Japan Vulnerability Notes JVNVU#92881878 ISC BIND 9 に複数の脆弱性 https://jvn.jp/vu/JVNVU92881878/ Internet Systems Consortium, Inc. (ISC) CVE-2018-5744: A specially crafted packet can cause named to leak memory https://kb.isc.org/docs/cve-2018-5744 Internet Systems Consortium, Inc. (ISC) CVE-2018-5745: An assertion failure can occur if a trust anchor rolls over to an unsupported key algorithm when using managed-keys https://kb.isc.org/docs/cve-2018-5745 Internet Systems Consortium, Inc. (ISC) CVE-2019-6465: Zone transfer controls for writable DLZ zones were not effective https://kb.isc.org/docs/cve-2019-6465 今回の件につきまして提供いただける情報がございましたら、JPCERT/CC まで ご連絡ください。 ________ 改訂履歴 2019-2-22 初版 2019-2-26 「II. 対象」の追記 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-6271-8901 FAX: 03-6271-8908 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJcdMriAAoJEDF9l6Rp7OBI3aQIAJkJCMPO07+3DasubfI/6sd+ zDzLjj+XauVQ/OX39JhNli5ivBSkMkR8PT7jhEh6yLK2zBOuK987skdGM2HFlImz QFn3eD7T6OZablHdSuNILGqFQ53gUSV7aOa1zoUPyKO7wspG1VaR5ryyRUxGMAD2 T9TZ9LSReTAdZQf96q6tAkMdkEAmakc2WqqltDHRuJtoOXQCfbRKq39sCb2ZTojb M/dQDKgbmgc1YWxcVkDr0STKppAXqzLfq15LD1jAT9T9/dlAmKaPwh0UQXWEZ01v t0O29YLoEbFSVmvyRcPp+xr1sxwCtn3m953EUKRSb6mEidnENJfgKzMKm+A85pA= =I+vB -----END PGP SIGNATURE-----