-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2017-0016 JPCERT/CC 2017-04-13 <<< JPCERT/CC Alert 2017-04-13 >>> ISC BIND 9 に対する複数の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170016.html I. 概要 ISC BIND 9 には、複数の脆弱性があります。脆弱性を悪用された場合、リモー トからの攻撃によって named が終了する可能性があります。 なお、ISC は、脆弱性 CVE-2017-3137 に対する深刻度を、「高 (High)」、脆 弱性 CVE-2017-3136 及び CVE-2017-3138 に対する深刻度を、「中 (Medium)」、 と評価しています。脆弱性の詳細については、ISC の情報を確認してください。 Internet Systems Consortium, Inc. (ISC) CVE-2017-3136: An error handling synthesized records could cause an assertion failure when using DNS64 with "break-dnssec yes;" https://kb.isc.org/article/AA-01465/ Internet Systems Consortium, Inc. (ISC) CVE-2017-3137: A response packet can cause a resolver to terminate when processing an answer containing a CNAME or DNAME https://kb.isc.org/article/AA-01466/ Internet Systems Consortium, Inc. (ISC) CVE-2017-3138: named exits with a REQUIRE assertion failure if it receives a null command string on its control channel https://kb.isc.org/article/AA-01471/ 影響を受けるバージョンの ISC BIND 9 を運用している場合は、「III. 対策」 を参考に、修正済みバージョンの適用について検討してください。 II. 対象 各脆弱性の影響を受けるバージョンは次のとおりです。 - CVE-2017-3136 : 中 (Medium) - 9.9系列 9.9.9-P6 およびそれ以前 - 9.10系列 9.10.4-P6 およびそれ以前 - 9.11系列 9.11.0-P3 およびそれ以前 - 特定のオプション ("break-dnssec yes;") を設定して DNS64 を使用し ている場合に対象になるとされています - サポートが終了している 9.8 系列も対象になるとされています - CVE-2017-3137 : 高 (High) - 9.9系列 9.9.9-P6 - 9.10系列 9.10.4-P6 - 9.11系列 9.11.0-P3 - キャッシュ DNS サーバが対象になるとされている他、権威 DNS サーバ で名前解決を実行している場合に対象となりうるとされています - CVE-2017-3138 : 中 (Medium) - 9.9系列 9.9.9 から 9.9.9-P7 まで - 9.10系列 9.10.4 から 9.10.4-P7 まで - 9.11系列 9.11.0-P4 およびそれ以前 - 制御チャンネル (control channel) により遠隔から制御を受けつける場 合に対象になるとされています 詳細については ISC の情報を参照してください。 BIND 9 Security Vulnerability Matrix https://kb.isc.org/article/AA-00913/ ディストリビュータが提供している BIND をお使いの場合は、使用中の ディストリビュータなどの情報を参照してください。 III. 対策 ISC から脆弱性を修正したバージョンの ISC BIND 9 が公開されています。 また、今後各ディストリビュータなどからも、修正済みのバージョンが提供さ れると思われますので、十分なテストを実施の上、修正済みのバージョンを適 用することをご検討ください。 ISC BIND - BIND 9 version 9.9.9-P8 - BIND 9 version 9.10.4-P8 - BIND 9 version 9.11.0-P5 IV. 参考情報 US-CERT ISC Releases Security Updates for BIND https://www.us-cert.gov/ncas/current-activity/2017/04/12/ISC-Releases-Security-Updates-BIND 株式会社日本レジストリサービス (JPRS) (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3137)- バージョンアップを強く推奨 - https://jprs.jp/tech/security/2017-04-13-bind9-vuln-cname-dname.html 株式会社日本レジストリサービス (JPRS) BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3136)- 特定のオプションを設定してDNS64を使用している場合のみ対象、バージョンアップを推奨 - https://jprs.jp/tech/security/2017-04-13-bind9-vuln-dns64.html 株式会社日本レジストリサービス (JPRS) BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3138)- バージョンアップを推奨 - https://jprs.jp/tech/security/2017-04-13-bind9-vuln-control-channel.html 今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡 ください。 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL:03-3518-4600 FAX: 03-3518-4602 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJY7vxJAAoJEDF9l6Rp7OBIhvUIAIB11t3MO4Ehw0+UvkNgNgRc g5xQ0+kVy80QrGDiQciPGP3+0TkKJjsI39QsLlZWogG9Xw3UiE97ELnMAth9Ycep LCefwXof432V9QP6Da1wqCbNAjQOexoYPkkRjp+ZG/hI+IIfaHwTNW3HE4WBEkdC j5gAqlx238js+0SDERGFWu5Oms1iu6z39Y15OgaCh+9Szu9ASIGRHryGXvgwy+gJ gxnNRJuyRn+G2CkGCye5rPKF5/gzjOjjjzh3f5emRKaNicIyCJHuQAF1nw+S/RrS w26iyyp2+OktuBPU5RvoqfikuCZx3Yywwz9s6Q1JhNyUhzTPsYM3ysLO6hz/TUo= =Oddo -----END PGP SIGNATURE-----