各位
JPCERT-AT-2017-0024
JPCERT/CC
2017-06-30(新規)
2017-07-13(更新)
<<< JPCERT/CC Alert 2017-06-30 >>>
ISC BIND 9 の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170024.html
I. 概要
ISC BIND 9 には、TSIG に関する脆弱性があります。脆弱性を悪用された場合、
リモートからの攻撃によって不正な DNS ダイナミックアップデート
(CVE-2017-3143) やゾーン転送 (CVE-2017-3142) が行われる可能性があります。
脆弱性の詳細については、ISC の情報を確認してください。
Internet Systems Consortium, Inc. (ISC)
CVE-2017-3143: An error in TSIG authentication can permit unauthorized dynamic updates
https://kb.isc.org/article/AA-01503/
Internet Systems Consortium, Inc. (ISC)
CVE-2017-3142: An error in TSIG authentication can permit unauthorized zone transfers
https://kb.isc.org/article/AA-01504/
CVE-2017-3143 では、攻撃者が 権威 DNS サーバーにメッセージの送受信が可能で、
対象となるゾーンとサービスの有効な TSIG キー名を知っている場合に影響を
受けるとされています。
** 更新: 2017年 7月13日追記 ******************************************
なお、ISC はアドバイザリを更新しています。named の設定ファイル (named.conf)
において "update-policy local;" オプションを使用している場合、既知の名
前 (local-ddns) とデフォルトのアルゴリズムを用いた TSIG 鍵が暗に定義さ
れ、かつ、IP アドレスベースのアクセス制限が設定されていない状態となり
ます。対象のバージョンを使用している場合、設定を確認することも検討して
ください。
**********************************************************************
CVE-2017-3142 では、攻撃者が 権威 DNS サーバーへのメッセージの送受信が可能
で、有効な TSIG キー名を知っている場合に影響を受けるとされており、TSIG
認証回避のための細工したリクエストパケットを送信して、本脆弱性を悪用さ
れる可能性があるとのことです。
なお、ISC は、脆弱性 CVE-2017-3143 に対する深刻度を「高 (High)」、脆弱
性 CVE-2017-3142 に対する深刻度を「中 (Medium)」と評価しています。
影響を受けるバージョンの ISC BIND 9 を運用している場合は、「III. 対策」
を参考に、修正済みバージョンの適用について検討してください。
II. 対象
各脆弱性の影響を受けるバージョンは次のとおりです。
なお、本脆弱性は TSIG によるアクセス制限を有効にしている場合に影響を受
けます。
- CVE-2017-3143 : 高 (High)
- 9.9系列 9.9.10-P1 およびそれ以前
- 9.10系列 9.10.5-P1 およびそれ以前
- 9.11系列 9.11.1-P1 およびそれ以前
- サポートが終了している 9.4 系列から 9.8 系列も対象になるとされています
- CVE-2017-3142 : 中 (Medium)
- 9.9系列 9.9.10-P1 およびそれ以前
- 9.10系列 9.10.5-P1 およびそれ以前
- 9.11系列 9.11.1-P1 およびそれ以前
- サポートが終了している 9.4 系列から 9.8 系列も対象になるとされています
詳細については、ISC の情報を参照してください。
BIND 9 Security Vulnerability Matrix
https://kb.isc.org/article/AA-00913/
ディストリビュータが提供している BIND をお使いの場合は、使用中のディス
トリビュータなどの情報を確認してください。
III. 対策
ISC から脆弱性を修正したバージョンの ISC BIND 9 が公開されています。ま
た、今後各ディストリビュータなどからも、修正済みのバージョンが提供され
ると思われますので、十分なテストを実施の上、修正済みのバージョンを適用
することをご検討ください。
ISC BIND
- BIND 9 version 9.9.10-P2
- BIND 9 version 9.10.5-P2
- BIND 9 version 9.11.1-P2
IV. 回避策
ISC 社によると、次の回避策を適用することで、本脆弱性の影響を軽減する
ことが可能とのことです。
- IP アドレスレンジの検証と TSIG 認証の双方を要求するアクセスコントロールリスト (ACL) を設定する
Using Access Control Lists (ACLs) with both addresses and keys
https://kb.isc.org/article/AA-00723
** 更新: 2017年 7月13日追記 ******************************************
設定ファイル (named.conf) において "update-policy local;" オプションを
使用している場合、速やかにバージョンアップを行う必要があります。バー
ジョンアップが不可能な場合は、設定ファイルの update-policy ステートメ
ントを TSIG 鍵を要求する allow-update ステートメントに切り替えた上で、
IP アドレスベースの ACL を追加するなどの対策を行う必要があります。
allow-update { !{ !localhost; }; key local-ddns; };
**********************************************************************
V. 参考情報
株式会社日本レジストリサービス (JPRS)
(緊急)BIND 9.xの脆弱性(TSIG認証の迂回によるゾーンデータの操作)について(CVE-2017-3143) - バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2017-06-30-bind9-vuln-circumvent-tsig-auth-dynamic-update.html
株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性(TSIG認証の迂回によるゾーンデータの流出)について(CVE-2017-3142) - バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2017-06-30-bind9-vuln-circumvent-tsig-auth-axfr.html
今回の件につきまして、当センターまで提供いただける情報がございましたら、
ご連絡ください。
________
改訂履歴
2017-06-30 初版
2017-07-13 「I. 概要」および「IV. 回避策」の追記
======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
Topへ