各位
ISC BIND 9 に対する複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170016.html
I. 概要ISC BIND 9 には、複数の脆弱性があります。脆弱性を悪用された場合、リモートからの攻撃によって named が終了する可能性があります。なお、ISC は、脆弱性 CVE-2017-3137 に対する深刻度を、「高 (High)」、脆弱性 CVE-2017-3136 及び CVE-2017-3138 に対する深刻度を、「中 (Medium)」、と評価しています。脆弱性の詳細については、ISC の情報を確認してください。
Internet Systems Consortium, Inc. (ISC)
CVE-2017-3136: An error handling synthesized records could cause an assertion failure when using DNS64 with "break-dnssec yes;"
https://kb.isc.org/article/AA-01465/
Internet Systems Consortium, Inc. (ISC)
CVE-2017-3137: A response packet can cause a resolver to terminate when processing an answer containing a CNAME or DNAME
https://kb.isc.org/article/AA-01466/
Internet Systems Consortium, Inc. (ISC)
CVE-2017-3138: named exits with a REQUIRE assertion failure if it receives a null command string on its control channel
https://kb.isc.org/article/AA-01471/
影響を受けるバージョンの ISC BIND 9 を運用している場合は、「III. 対策」を参考に、修正済みバージョンの適用について検討してください。
II. 対象各脆弱性の影響を受けるバージョンは次のとおりです。
- CVE-2017-3136 : 中 (Medium)
- 9.9系列 9.9.9-P6 およびそれ以前
- 9.10系列 9.10.4-P6 およびそれ以前
- 9.11系列 9.11.0-P3 およびそれ以前
- 特定のオプション ("break-dnssec yes;") を設定して DNS64 を使用し
ている場合に対象になるとされています
- サポートが終了している 9.8 系列も対象になるとされています
- CVE-2017-3137 : 高 (High)
- 9.9系列 9.9.9-P6
- 9.10系列 9.10.4-P6
- 9.11系列 9.11.0-P3
- キャッシュ DNS サーバが対象になるとされている他、権威 DNS サーバ
で名前解決を実行している場合に対象となりうるとされています
- CVE-2017-3138 : 中 (Medium)
- 9.9系列 9.9.9 から 9.9.9-P7 まで
- 9.10系列 9.10.4 から 9.10.4-P7 まで
- 9.11系列 9.11.0-P4 およびそれ以前
- 制御チャンネル (control channel) により遠隔から制御を受けつける場
合に対象になるとされています
詳細については ISC の情報を参照してください。
BIND 9 Security Vulnerability Matrix
https://kb.isc.org/article/AA-00913/
ディストリビュータが提供している BIND をお使いの場合は、使用中のディストリビュータなどの情報を参照してください。
III. 対策ISC から脆弱性を修正したバージョンの ISC BIND 9 が公開されています。また、今後各ディストリビュータなどからも、修正済みのバージョンが提供されると思われますので、十分なテストを実施の上、修正済みのバージョンを適用することをご検討ください。
ISC BIND
- BIND 9 version 9.9.9-P8
- BIND 9 version 9.10.4-P8
- BIND 9 version 9.11.0-P5
IV. 参考情報
US-CERT
ISC Releases Security Updates for BIND
https://www.us-cert.gov/ncas/current-activity/2017/04/12/ISC-Releases-Security-Updates-BIND
株式会社日本レジストリサービス (JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3137)- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2017-04-13-bind9-vuln-cname-dname.html
株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3136)- 特定のオプションを設定してDNS64を使用している場合のみ対象、バージョンアップを推奨 -
https://jprs.jp/tech/security/2017-04-13-bind9-vuln-dns64.html
株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3138)- バージョンアップを推奨 -
https://jprs.jp/tech/security/2017-04-13-bind9-vuln-control-channel.html
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
JPCERT-AT-2017-0016
JPCERT/CC
2017-04-13
JPCERT/CC Alert 2017-04-13
ISC BIND 9 に対する複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170016.html
I. 概要ISC BIND 9 には、複数の脆弱性があります。脆弱性を悪用された場合、リモートからの攻撃によって named が終了する可能性があります。なお、ISC は、脆弱性 CVE-2017-3137 に対する深刻度を、「高 (High)」、脆弱性 CVE-2017-3136 及び CVE-2017-3138 に対する深刻度を、「中 (Medium)」、と評価しています。脆弱性の詳細については、ISC の情報を確認してください。
Internet Systems Consortium, Inc. (ISC)
CVE-2017-3136: An error handling synthesized records could cause an assertion failure when using DNS64 with "break-dnssec yes;"
https://kb.isc.org/article/AA-01465/
Internet Systems Consortium, Inc. (ISC)
CVE-2017-3137: A response packet can cause a resolver to terminate when processing an answer containing a CNAME or DNAME
https://kb.isc.org/article/AA-01466/
Internet Systems Consortium, Inc. (ISC)
CVE-2017-3138: named exits with a REQUIRE assertion failure if it receives a null command string on its control channel
https://kb.isc.org/article/AA-01471/
影響を受けるバージョンの ISC BIND 9 を運用している場合は、「III. 対策」を参考に、修正済みバージョンの適用について検討してください。
II. 対象各脆弱性の影響を受けるバージョンは次のとおりです。
- CVE-2017-3136 : 中 (Medium)
- 9.9系列 9.9.9-P6 およびそれ以前
- 9.10系列 9.10.4-P6 およびそれ以前
- 9.11系列 9.11.0-P3 およびそれ以前
- 特定のオプション ("break-dnssec yes;") を設定して DNS64 を使用し
ている場合に対象になるとされています
- サポートが終了している 9.8 系列も対象になるとされています
- CVE-2017-3137 : 高 (High)
- 9.9系列 9.9.9-P6
- 9.10系列 9.10.4-P6
- 9.11系列 9.11.0-P3
- キャッシュ DNS サーバが対象になるとされている他、権威 DNS サーバ
で名前解決を実行している場合に対象となりうるとされています
- CVE-2017-3138 : 中 (Medium)
- 9.9系列 9.9.9 から 9.9.9-P7 まで
- 9.10系列 9.10.4 から 9.10.4-P7 まで
- 9.11系列 9.11.0-P4 およびそれ以前
- 制御チャンネル (control channel) により遠隔から制御を受けつける場
合に対象になるとされています
詳細については ISC の情報を参照してください。
BIND 9 Security Vulnerability Matrix
https://kb.isc.org/article/AA-00913/
ディストリビュータが提供している BIND をお使いの場合は、使用中のディストリビュータなどの情報を参照してください。
III. 対策ISC から脆弱性を修正したバージョンの ISC BIND 9 が公開されています。また、今後各ディストリビュータなどからも、修正済みのバージョンが提供されると思われますので、十分なテストを実施の上、修正済みのバージョンを適用することをご検討ください。
ISC BIND
- BIND 9 version 9.9.9-P8
- BIND 9 version 9.10.4-P8
- BIND 9 version 9.11.0-P5
IV. 参考情報
US-CERT
ISC Releases Security Updates for BIND
https://www.us-cert.gov/ncas/current-activity/2017/04/12/ISC-Releases-Security-Updates-BIND
株式会社日本レジストリサービス (JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3137)- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2017-04-13-bind9-vuln-cname-dname.html
株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3136)- 特定のオプションを設定してDNS64を使用している場合のみ対象、バージョンアップを推奨 -
https://jprs.jp/tech/security/2017-04-13-bind9-vuln-dns64.html
株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3138)- バージョンアップを推奨 -
https://jprs.jp/tech/security/2017-04-13-bind9-vuln-control-channel.html
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
前
コメント
共 有
