JPCERT コーディネーションセンター

ISC BIND 9 に対する複数の脆弱性に関する注意喚起

各位

JPCERT-AT-2019-0019
JPCERT/CC
2019-04-25

JPCERT/CC Alert 2019-04-25


ISC BIND 9 に対する複数の脆弱性に関する注意喚起

https://www.jpcert.or.jp/at/2019/at190019.html


I. 概要ISC BIND 9 には、複数の脆弱性があります。脆弱性を悪用された場合、リモートからの攻撃によって、named が異常終了する可能性や、named に割り当てられたファイル記述子のリソースが意図せず使用され枯渇することで、ネットワーク接続やゾーンジャーナル等のファイル管理に影響する可能性があります。なお、ISC は、脆弱性 CVE-2018-5743 に対する深刻度を「高 (High)」、脆弱性 CVE-2019-6467 に対する深刻度を「中 (Medium)」と評価しています。脆弱性の詳細については、ISC の情報を確認してください。

Internet Systems Consortium, Inc. (ISC)
CVE-2018-5743: Limiting simultaneous TCP clients is ineffective
https://kb.isc.org/docs/cve-2018-5743

Internet Systems Consortium, Inc. (ISC)
CVE-2019-6467: An error in the nxdomain redirect feature can cause BIND to exit with an INSIST assertion failure in query.c
https://kb.isc.org/docs/cve-2019-6467

また、上記以外に Supported Preview Edition のみが影響を受ける脆弱性(CVE-2019-6468) があります。

影響を受けるバージョンの ISC BIND 9 を運用している場合は、「III. 対策」を参考に、修正済みバージョンの適用について検討してください。


II. 対象脆弱性の影響を受けるバージョンは次のとおりです。

- CVE-2018-5743
- BIND 9.14.0
- BIND 9.12系 9.12.0 から 9.12.4 まで
- BIND 9.11系 9.11.0 から 9.11.6 まで
- BIND Supported Preview Edition 9.9.3-S1 から 9.11.5-S3 まで
- BIND Supported Preview Edition 9.11.5-S5

- CVE-2019-6467
- BIND 9.14.0
- BIND 9.12系 9.12.0 から 9.12.4 まで

- CVE-2019-6468
- BIND Supported Preview Edition 9.10.5-S1 から 9.11.5-S5 まで
※ 本脆弱性は Supported Preview Edition のみが対象になります

なお、CVE-2018-5743 については、既にサポートが終了している 9.9系及び9.10系も影響を受けるとのことです。

ディストリビュータが提供している BIND をお使いの場合は、使用中のディストリビュータなどの情報を参照してください。


III. 対策ISC から脆弱性を修正したバージョンの ISC BIND 9 が公開されています。
また、今後各ディストリビュータなどからも、修正済みのバージョンが提供されると思われますので、十分なテストを実施の上、修正済みのバージョンを適用することをご検討ください。

- BIND 9.11.6-P1
- BIND 9.12.4-P1
- BIND 9.14.1
- BIND Supported Preview Edition version 9.11.5-S6
- BIND Supported Preview Edition version 9.11.6-S1


IV. 参考情報
株式会社日本レジストリサービス (JPRS)
(緊急)BIND 9.xの脆弱性(ファイル記述子の過度な消費)について
(CVE-2018-5743) - フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、バージョンアップを強く推奨
https://jprs.jp/tech/security/2019-04-25-bind9-vuln-tcp-clients.html

株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2019-6467)
- nxdomain-redirect機能を有効にしている場合のみ対象、バージョンアップを推奨
https://jprs.jp/tech/security/2019-04-25-bind9-vuln-nxdomain-redirect.html

Internet Systems Consortium, Inc. (ISC)
CVE-2018-5743: Limiting simultaneous TCP clients is ineffective
https://kb.isc.org/docs/cve-2018-5743

Internet Systems Consortium, Inc. (ISC)
CVE-2019-6467: An error in the nxdomain redirect feature can cause BIND to exit with an INSIST assertion failure in query.c
https://kb.isc.org/docs/cve-2019-6467

Internet Systems Consortium, Inc. (ISC)
CVE-2019-6468: BIND Supported Preview Edition can exit with an assertion failure if nxdomain-redirect is used
https://kb.isc.org/docs/cve-2019-6468

Internet Systems Consortium, Inc. (ISC)
BIND 9 Security Vulnerability Matrix
https://kb.isc.org/docs/aa-00913


今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。

==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-6271-8901 FAX: 03-6271-8908
https://www.jpcert.or.jp/
Topへ
最新情報(RSSメーリングリストTwitter