JPCERT コーディネーションセンター

ISC BIND 9 に対する複数の脆弱性に関する注意喚起

各位

JPCERT-AT-2017-0004
JPCERT/CC
2017-01-12(新規)
2017-01-13(更新)

JPCERT/CC Alert 2017-01-12


ISC BIND 9 に対する複数の脆弱性に関する注意喚起

https://www.jpcert.or.jp/at/2017/at170004.html


I. 概要

ISC BIND 9 には、複数の脆弱性があります。脆弱性を悪用された場合、リモートからの攻撃によって named が終了する可能性があります。脆弱性の詳細については、ISC 社の情報を確認してください。

Internet Systems Consortium, Inc. (ISC)
CVE-2016-9131: A malformed response to an ANY query can cause an assertion failure during recursion
https://kb.isc.org/article/AA-01439/74/CVE-2016-9131%3A-A-malformed-response-to-an-ANY-query-can-cause-an-assertion-failure-during-recursion.html

CVE-2016-9147: An error handling a query response containing inconsistent DNSSEC information could cause an assertion failure
https://kb.isc.org/article/AA-01440/74/CVE-2016-9147%3A-An-error-handling-a-query-response-containing-inconsistent-DNSSEC-information-could-cause-an-assertion-failure-.html

CVE-2016-9444: An unusually-formed DS record response could cause an assertion failure
https://kb.isc.org/article/AA-01441/74/CVE-2016-9444%3A-An-unusually-formed-DS-record-response-could-cause-an-assertion-failure.html

CVE-2016-9778: An error handling certain queries using the nxdomain-redirect feature could cause a REQUIRE assertion failure in db.c
https://kb.isc.org/article/AA-01442/74/CVE-2016-9778%3A-An-error-handling-certain-queries-using-the-nxdomain-redirect-feature-could-cause-a-REQUIRE-assertion-failure-in-db.c.html

影響を受けるバージョンの ISC BIND 9 (権威 DNS サーバ、キャッシュ DNSサーバ) を運用している場合は、「III. 対策」を参考に、修正済みバージョンの適用について検討してください。


II. 対象

ISC 社の情報によると、以下のバージョンが本脆弱性の影響を受けます。ISC 社は、各脆弱性の深刻度を、「高 (High)」と評価しています。

ISC BIND
- 9.9系列 9.9.3 から 9.9.9-P4 までのバージョン
- 9.10系列 9.10.4-P4 より以前のバージョン
- 9.11系列 9.11.0-P1 より以前のバージョン

各脆弱性について影響を受けるバージョンが異なりますので、詳細については以下の情報を参照してください。

BIND 9 Security Vulnerability Matrix
https://kb.isc.org/article/AA-00913/

** 更新: 2017年 1月13日追記 ****************
なお、ISC 社の情報によると、脆弱性 (CVE-2016-9131、CVE-2016-9444)について、サポートが終了している 9.8 系列以前の ISC BIND 9 も影響を受けるとのことです。影響を受けるバージョンを利用している場合には、脆弱性の情報に注意しアップデート等の対応を行ってください。影響を受けるバージョンについては、以下の情報もあわせてご参照ください。

JVNVU#94085539
ISC BIND に複数のサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU94085539/
**************************************************

ディストリビュータが提供している BIND をお使いの場合は、使用中のディストリビュータなどの情報を参照してください。


III. 対策

ISC 社から脆弱性を修正したバージョンの ISC BIND が公開されています。また、今後各ディストリビュータなどからも、修正済みのバージョンが提供されると思われますので、十分なテストを実施の上、修正済みのバージョンを適用することをご検討ください。

ISC BIND
- BIND 9 version 9.9.9-P5
- BIND 9 version 9.10.4-P5
- BIND 9 version 9.11.0-P2


IV. 参考情報

US-CERT
ISC Releases Security Updates for BIND
https://www.us-cert.gov/ncas/current-activity/2017/01/11/ISC-Releases-Security-Updates-BIND

株式会社日本レジストリサービス (JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-9131)
- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2017-01-12-bind9-vuln-malformed-any.html

(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-9147)
- DNSSEC検証を実施していない場合も対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2017-01-12-bind9-vuln-inconsistent-dnssec.html

(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-9444)
- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2017-01-12-bind9-vuln-unusually-formed-ds.html

BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-9778)
- nxdomain-redirectオプションを指定している場合のみ対象、
バージョンアップを推奨 -
https://jprs.jp/tech/security/2017-01-12-bind9-vuln-nxdomain-redirect.html

** 更新: 2017年 1月13日追記 ****************
JVNVU#94085539
ISC BIND に複数のサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/vu/JVNVU94085539/

一般社団法人日本ネットワークインフォメーションセンター(JPNIC)
BIND 9における複数の脆弱性について(2017年1月)
https://www.nic.ad.jp/ja/topics/2017/20170112-01.html
**************************************************

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

________
改訂履歴
2017-01-12 初版
2017-01-13 「II. 対象」および「IV. 参考情報」の修正

==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
Topへ
最新情報(RSSメーリングリストTwitter