JPCERT-AT-2018-0005
JPCERT/CC
2018-01-17
Internet Systems Consortium, Inc. (ISC)
CVE-2017-3145: Improper fetch cleanup sequencing in the resolver can cause named to crash
https://kb.isc.org/article/AA-01542/
なお、ISC は、脆弱性 CVE-2017-3145 に対する深刻度を「高 (High)」と評価しています。
影響を受けるバージョンの ISC BIND 9 を運用している場合は、「III. 対策」を参考に、修正済みバージョンの適用を検討してください。
- CVE-2017-3145 : 高 (High)
- 9.9系列 9.9.11 およびそれ以前
- 9.10系列 9.10.6 およびそれ以前
- 9.11系列 9.11.2 およびそれ以前
- サポートが終了している 9.0 系列から 9.8 系列も対象になるとされて
います。
詳細については、ISC の情報を参照してください。
BIND 9 Security Vulnerability Matrix
https://kb.isc.org/article/AA-00913/
ディストリビュータが提供している BIND をお使いの場合は、使用中のディストリビュータなどの情報を確認してください。
ISC BIND
- BIND 9 version 9.9.11-P1
- BIND 9 version 9.10.6-P1
- BIND 9 version 9.11.2-P1
なお、ISC 社からは、修正済みのバージョンを適用するまでの間では、DNSSEC の検証を無効とすることが回避策として挙げられています。
US-CERT
ISC Releases Security Updates for BIND
https://www.us-cert.gov/ncas/current-activity/2018/01/16/ISC-Releases-Security-Advisories-DHCP-BIND
株式会社日本レジストリサービス (JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3145)
- DNSSEC検証が有効に設定されている場合のみ対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2018-01-17-bind9-vuln-improperly-sequencing-cleanup.html
今回の件につきまして、当センターまで提供いただける情報がございましたら、ご連絡ください。
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
JPCERT/CC
2018-01-17
I. 概要
ISC BIND 9 には、サービス運用妨害 (DoS) の原因となる脆弱性があります。脆弱性を悪用された場合、リモートからの攻撃によって named が終了する可能性があります。ISC によれば、本脆弱性は DNSSEC 検証を有効としているキャッシュDNS サーバが影響を受けるとのことです。脆弱性の詳細については、ISC の情報を確認してください。Internet Systems Consortium, Inc. (ISC)
CVE-2017-3145: Improper fetch cleanup sequencing in the resolver can cause named to crash
https://kb.isc.org/article/AA-01542/
なお、ISC は、脆弱性 CVE-2017-3145 に対する深刻度を「高 (High)」と評価しています。
影響を受けるバージョンの ISC BIND 9 を運用している場合は、「III. 対策」を参考に、修正済みバージョンの適用を検討してください。
II. 対象
各脆弱性の影響を受けるバージョンは次のとおりです。- CVE-2017-3145 : 高 (High)
- 9.9系列 9.9.11 およびそれ以前
- 9.10系列 9.10.6 およびそれ以前
- 9.11系列 9.11.2 およびそれ以前
- サポートが終了している 9.0 系列から 9.8 系列も対象になるとされて
います。
詳細については、ISC の情報を参照してください。
BIND 9 Security Vulnerability Matrix
https://kb.isc.org/article/AA-00913/
ディストリビュータが提供している BIND をお使いの場合は、使用中のディストリビュータなどの情報を確認してください。
III. 対策
ISC から脆弱性を修正したバージョンの ISC BIND 9 が公開されています。また、今後各ディストリビュータなどからも、修正済みのバージョンが提供されると思われますので、十分なテストを実施の上、修正済みのバージョンを適用することをご検討ください。ISC BIND
- BIND 9 version 9.9.11-P1
- BIND 9 version 9.10.6-P1
- BIND 9 version 9.11.2-P1
なお、ISC 社からは、修正済みのバージョンを適用するまでの間では、DNSSEC の検証を無効とすることが回避策として挙げられています。
IV. 参考情報
US-CERT
ISC Releases Security Updates for BIND
https://www.us-cert.gov/ncas/current-activity/2018/01/16/ISC-Releases-Security-Advisories-DHCP-BIND
株式会社日本レジストリサービス (JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3145)
- DNSSEC検証が有効に設定されている場合のみ対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2018-01-17-bind9-vuln-improperly-sequencing-cleanup.html
今回の件につきまして、当センターまで提供いただける情報がございましたら、ご連絡ください。
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/