-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2017-0024 JPCERT/CC 2017-06-30(新規) 2017-07-13(更新) <<< JPCERT/CC Alert 2017-06-30 >>> ISC BIND 9 の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170024.html I. 概要 ISC BIND 9 には、TSIG に関する脆弱性があります。脆弱性を悪用された場合、 リモートからの攻撃によって不正な DNS ダイナミックアップデート (CVE-2017-3143) やゾーン転送 (CVE-2017-3142) が行われる可能性があります。 脆弱性の詳細については、ISC の情報を確認してください。 Internet Systems Consortium, Inc. (ISC) CVE-2017-3143: An error in TSIG authentication can permit unauthorized dynamic updates https://kb.isc.org/article/AA-01503/ Internet Systems Consortium, Inc. (ISC) CVE-2017-3142: An error in TSIG authentication can permit unauthorized zone transfers https://kb.isc.org/article/AA-01504/ CVE-2017-3143 では、攻撃者が 権威 DNS サーバーにメッセージの送受信が可能で、 対象となるゾーンとサービスの有効な TSIG キー名を知っている場合に影響を 受けるとされています。 ** 更新: 2017年 7月13日追記 ****************************************** なお、ISC はアドバイザリを更新しています。named の設定ファイル (named.conf) において "update-policy local;" オプションを使用している場合、既知の名 前 (local-ddns) とデフォルトのアルゴリズムを用いた TSIG 鍵が暗に定義さ れ、かつ、IP アドレスベースのアクセス制限が設定されていない状態となり ます。対象のバージョンを使用している場合、設定を確認することも検討して ください。 ********************************************************************** CVE-2017-3142 では、攻撃者が 権威 DNS サーバーへのメッセージの送受信が可能 で、有効な TSIG キー名を知っている場合に影響を受けるとされており、TSIG 認証回避のための細工したリクエストパケットを送信して、本脆弱性を悪用さ れる可能性があるとのことです。 なお、ISC は、脆弱性 CVE-2017-3143 に対する深刻度を「高 (High)」、脆弱 性 CVE-2017-3142 に対する深刻度を「中 (Medium)」と評価しています。 影響を受けるバージョンの ISC BIND 9 を運用している場合は、「III. 対策」 を参考に、修正済みバージョンの適用について検討してください。 II. 対象 各脆弱性の影響を受けるバージョンは次のとおりです。 なお、本脆弱性は TSIG によるアクセス制限を有効にしている場合に影響を受 けます。 - CVE-2017-3143 : 高 (High) - 9.9系列 9.9.10-P1 およびそれ以前 - 9.10系列 9.10.5-P1 およびそれ以前 - 9.11系列 9.11.1-P1 およびそれ以前 - サポートが終了している 9.4 系列から 9.8 系列も対象になるとされています - CVE-2017-3142 : 中 (Medium) - 9.9系列 9.9.10-P1 およびそれ以前 - 9.10系列 9.10.5-P1 およびそれ以前 - 9.11系列 9.11.1-P1 およびそれ以前 - サポートが終了している 9.4 系列から 9.8 系列も対象になるとされています 詳細については、ISC の情報を参照してください。 BIND 9 Security Vulnerability Matrix https://kb.isc.org/article/AA-00913/ ディストリビュータが提供している BIND をお使いの場合は、使用中のディス トリビュータなどの情報を確認してください。 III. 対策 ISC から脆弱性を修正したバージョンの ISC BIND 9 が公開されています。ま た、今後各ディストリビュータなどからも、修正済みのバージョンが提供され ると思われますので、十分なテストを実施の上、修正済みのバージョンを適用 することをご検討ください。 ISC BIND - BIND 9 version 9.9.10-P2 - BIND 9 version 9.10.5-P2 - BIND 9 version 9.11.1-P2 IV. 回避策 ISC 社によると、次の回避策を適用することで、本脆弱性の影響を軽減する ことが可能とのことです。 - IP アドレスレンジの検証と TSIG 認証の双方を要求するアクセスコントロールリスト (ACL) を設定する Using Access Control Lists (ACLs) with both addresses and keys https://kb.isc.org/article/AA-00723 ** 更新: 2017年 7月13日追記 ****************************************** 設定ファイル (named.conf) において "update-policy local;" オプションを 使用している場合、速やかにバージョンアップを行う必要があります。バー ジョンアップが不可能な場合は、設定ファイルの update-policy ステートメ ントを TSIG 鍵を要求する allow-update ステートメントに切り替えた上で、 IP アドレスベースの ACL を追加するなどの対策を行う必要があります。 allow-update { !{ !localhost; }; key local-ddns; }; ********************************************************************** V. 参考情報 株式会社日本レジストリサービス (JPRS) (緊急)BIND 9.xの脆弱性(TSIG認証の迂回によるゾーンデータの操作)について(CVE-2017-3143) - バージョンアップを強く推奨 - https://jprs.jp/tech/security/2017-06-30-bind9-vuln-circumvent-tsig-auth-dynamic-update.html 株式会社日本レジストリサービス (JPRS) BIND 9.xの脆弱性(TSIG認証の迂回によるゾーンデータの流出)について(CVE-2017-3142) - バージョンアップを強く推奨 - https://jprs.jp/tech/security/2017-06-30-bind9-vuln-circumvent-tsig-auth-axfr.html 今回の件につきまして、当センターまで提供いただける情報がございましたら、 ご連絡ください。 ________ 改訂履歴 2017-06-30 初版 2017-07-13 「I. 概要」および「IV. 回避策」の追記 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL:03-3518-4600 FAX: 03-3518-4602 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJZZxVRAAoJEDF9l6Rp7OBIFusH/Rmgo2lAhr99uW+/eVebHe5L LS8Fe7di4nOaqTEm3jWcaDO0R8LNwVT4IZ061h4DaMXIX0XAhGtuJdhVxJ97NmZP nMh4cU8N/m9t/9+KMd5zs5yR6dWrS+txAo3rM0yRVvismyFy9uX1r5RuvuVLA0Y1 BaOBr93sxu1aWvybZ19KPH2uHZ4Ssl2eOdaFqyRbWCJmFKq5NtLxn2MNmynT/CfL ImFkq29bIaKyq0KNfQPTgWKQggixXfLAm03YCwGB5fcc7O/hwSgzAudwsMaTUTJ9 DvtwdCC2kC5KKUNCaZPN2MhNofNTkkaOwJCHOZgkUfgtSUrs5PhccsXzWFK5rok= =Qw3F -----END PGP SIGNATURE-----