-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


各位

                                                   JPCERT-AT-2017-0004
                                                             JPCERT/CC
                                                      2017-01-12(新規)
                                                      2017-01-13(更新)

                  <<< JPCERT/CC Alert 2017-01-12 >>>

            ISC BIND 9 に対する複数の脆弱性に関する注意喚起

            https://www.jpcert.or.jp/at/2017/at170004.html


I. 概要

  ISC BIND 9 には、複数の脆弱性があります。脆弱性を悪用された場合、リ
モートからの攻撃によって named が終了する可能性があります。脆弱性の詳
細については、ISC 社の情報を確認してください。

    Internet Systems Consortium, Inc. (ISC)
    CVE-2016-9131: A malformed response to an ANY query can cause an assertion failure during recursion
    https://kb.isc.org/article/AA-01439/74/CVE-2016-9131%3A-A-malformed-response-to-an-ANY-query-can-cause-an-assertion-failure-during-recursion.html
    
    CVE-2016-9147: An error handling a query response containing inconsistent DNSSEC information could cause an assertion failure 
    https://kb.isc.org/article/AA-01440/74/CVE-2016-9147%3A-An-error-handling-a-query-response-containing-inconsistent-DNSSEC-information-could-cause-an-assertion-failure-.html
    
    CVE-2016-9444: An unusually-formed DS record response could cause an assertion failure
    https://kb.isc.org/article/AA-01441/74/CVE-2016-9444%3A-An-unusually-formed-DS-record-response-could-cause-an-assertion-failure.html
    
    CVE-2016-9778: An error handling certain queries using the nxdomain-redirect feature could cause a REQUIRE assertion failure in db.c
    https://kb.isc.org/article/AA-01442/74/CVE-2016-9778%3A-An-error-handling-certain-queries-using-the-nxdomain-redirect-feature-could-cause-a-REQUIRE-assertion-failure-in-db.c.html

  影響を受けるバージョンの ISC BIND 9 (権威 DNS サーバ、キャッシュ DNS
サーバ) を運用している場合は、「III. 対策」を参考に、修正済みバージョン
の適用について検討してください。


II. 対象

  ISC 社の情報によると、以下のバージョンが本脆弱性の影響を受けます。
ISC 社は、各脆弱性の深刻度を、「高 (High)」と評価しています。

  ISC BIND
    - 9.9系列 9.9.3 から 9.9.9-P4 までのバージョン
    - 9.10系列 9.10.4-P4 より以前のバージョン
    - 9.11系列 9.11.0-P1 より以前のバージョン

  各脆弱性について影響を受けるバージョンが異なりますので、詳細について
は以下の情報を参照してください。

    BIND 9 Security Vulnerability Matrix
    https://kb.isc.org/article/AA-00913/

** 更新: 2017年 1月13日追記 ******************************************
  なお、ISC 社の情報によると、脆弱性 (CVE-2016-9131、CVE-2016-9444)に
ついて、サポートが終了している 9.8 系列以前の ISC BIND 9 も影響を受け
るとのことです。影響を受けるバージョンを利用している場合には、脆弱性の
情報に注意しアップデート等の対応を行ってください。影響を受けるバージョン
については、以下の情報もあわせてご参照ください。

   JVNVU#94085539
   ISC BIND に複数のサービス運用妨害 (DoS) の脆弱性
   https://jvn.jp/vu/JVNVU94085539/
**********************************************************************

  ディストリビュータが提供している BIND をお使いの場合は、使用中の
ディストリビュータなどの情報を参照してください。


III. 対策

  ISC 社から脆弱性を修正したバージョンの ISC BIND が公開されています。
また、今後各ディストリビュータなどからも、修正済みのバージョンが提供さ
れると思われますので、十分なテストを実施の上、修正済みのバージョンを適
用することをご検討ください。

  ISC BIND
  - BIND 9 version 9.9.9-P5
  - BIND 9 version 9.10.4-P5
  - BIND 9 version 9.11.0-P2


IV. 参考情報

    US-CERT
    ISC Releases Security Updates for BIND
    https://www.us-cert.gov/ncas/current-activity/2017/01/11/ISC-Releases-Security-Updates-BIND
    
    株式会社日本レジストリサービス (JPRS)
    （緊急）BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2016-9131）
    - バージョンアップを強く推奨 -
    https://jprs.jp/tech/security/2017-01-12-bind9-vuln-malformed-any.html

    （緊急）BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2016-9147）
    - DNSSEC検証を実施していない場合も対象、バージョンアップを強く推奨 -
    https://jprs.jp/tech/security/2017-01-12-bind9-vuln-inconsistent-dnssec.html

    （緊急）BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2016-9444）
    - バージョンアップを強く推奨 -
    https://jprs.jp/tech/security/2017-01-12-bind9-vuln-unusually-formed-ds.html

    BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2016-9778）
    - nxdomain-redirectオプションを指定している場合のみ対象、
      バージョンアップを推奨 -
    https://jprs.jp/tech/security/2017-01-12-bind9-vuln-nxdomain-redirect.html

** 更新: 2017年 1月13日追記 ******************************************
   JVNVU#94085539
   ISC BIND に複数のサービス運用妨害 (DoS) の脆弱性
   https://jvn.jp/vu/JVNVU94085539/

   一般社団法人日本ネットワークインフォメーションセンター（JPNIC）
   BIND 9における複数の脆弱性について(2017年1月)
   https://www.nic.ad.jp/ja/topics/2017/20170112-01.html
**********************************************************************

  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

________
改訂履歴
2017-01-12 初版
2017-01-13 「II. 対象」および「IV. 参考情報」の修正

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600       FAX: 03-3518-4602
https://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJYeDOLAAoJEDF9l6Rp7OBIYOYH/2MqFEG8hdf11o72sEoLgYU9
5U6V/H3AuAExAk4OR5nJEHg29h05YKej2F7o2a/8svkuk6jMNV5pf5+KE+wH9Knk
129YcORFr8igfyo91/i3nh4BgAw5IQdPhKy8BNpSg31bd2krYL/RBJkolKdkguHw
B7UJnp8GxjUhGcbAfA5DdhyjAvAO7BJ7sL67vycv1WYVMQ5BGtMwK6ALh2yltnps
ek4dOhqlNVPGEGOeiZYYCH4qlfxJl0C0FEaMerGGyhc8jZDEPIHLv2ysSYOFdjw2
EI+pDr1Jy5HkFMoTQiNa603Aj2uaKdGGQKkhG4aGwaXImMLNT0B2qxM0VNN0EWg=
=t+u5
-----END PGP SIGNATURE-----