-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2017-0007 JPCERT/CC 2017-02-09 <<< JPCERT/CC Alert 2017-02-09 >>> ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2017-3135) に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170007.html I. 概要 ISC BIND 9 には、サービス運用妨害 (DoS) の原因となる脆弱性があります。 脆弱性を悪用された場合、リモートからの攻撃によって named が終了する可 能性があります。脆弱性の詳細については、ISC 社の情報を確認してください。 Internet Systems Consortium, Inc. (ISC) CVE-2017-3135: Combination of DNS64 and RPZ Can Lead to Crash https://kb.isc.org/article/AA-01453/ ISC 社によると、DNS64 と RPZ の双方を有効に設定している場合にのみ、 本脆弱性の影響を受けるとのことです(デフォルトではいずれも無効)。影響 を受ける条件に該当するサーバを運用している場合は、「III. 対策」や 「IV. 回避策」を参考に、修正済みバージョンの適用について検討してくださ い。 II. 対象 ISC 社の情報によると、以下のバージョンが本脆弱性の影響を受けます。 ISC 社は、本脆弱性の深刻度を、「高 (High)」と評価しています。 ISC BIND - 9.9系列 9.9.3 から 9.9.9-P5 までのバージョン - 9.10系列 9.10.0 から 9.10.4-P5 までのバージョン - 9.11系列 9.11.0 から 9.11.0-P2 までのバージョン 詳細については以下の情報を参照して下さい。 BIND 9 Security Vulnerability Matrix https://kb.isc.org/article/AA-00913/ ディストリビュータが提供している BIND をお使いの場合は、使用中の ディストリビュータなどの情報を参照してください。 III. 対策 ISC 社から脆弱性を修正したバージョンの ISC BIND が公開されています。 また、今後各ディストリビュータなどからも、修正済みのバージョンが提供さ れると思われますので、十分なテストを実施の上、修正済みのバージョンを適 用することをご検討ください。 ISC BIND - BIND 9 version 9.9.9-P6 - BIND 9 version 9.10.4-P6 - BIND 9 version 9.11.0-P3 IV. 回避策 ISC 社によると、以下のいずれかの回避策を適用することで、本脆弱性の影 響を軽減することが可能とのことです。 - 運用で使用していない場合、DNS64 もしくは RPZ を設定から削除する - RPZ におけるポリシーゾーンのコンテンツを適切に制限する V. 参考情報 US-CERT ISC Releases Security Updates for BIND https://www.us-cert.gov/ncas/current-activity/2017/02/08/ISC-Releases-Security-Updates-BIND Internet Systems Consortium, Inc. (ISC) Response Policy Zones https://www.isc.org/?faqs=response-policy-zones 株式会社日本レジストリサービス (JPRS) BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3135) - DNS64とRPZの双方を使用している場合のみ対象、バージョンアップを推奨 - https://jprs.jp/tech/security/2017-02-09-bind9-vuln-dns64-rpz.html 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL:03-3518-4600 FAX: 03-3518-4602 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJYnAb2AAoJEDF9l6Rp7OBI+2YH+gM0BDt6Xtz0Aae7ygj8xEOp hSMwlHJo+5FUzeMuim4D9g/pilTmvzvAtuZrV0RZ7HjMFYMaSdnXNNGkCmiI6/7M WBjiG39rEK/Qc15z+qi3Hp85S7HIo+1CTEzNj+Vpv+9qYvB1QJo1aBvQkIJGQM4P j4q2flTlKQKuWqCkb4vKKcr6497iflEtP21rLtu8lxcUInO3G0wrHLzFWZAy8VfM 9y6l4YZ/7zzL7m0z0SMAMICFkhlMOCjbUdyXnYtI5yLyqsaijm3lk4qps5NgQK9d Dw1TqX/SBAvITPygJUWp16Cqpo6vK3hIx262P56uTUK1gmf8me8EdmGQAHkpBwE= =eqv/ -----END PGP SIGNATURE-----