-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2019-0019 JPCERT/CC 2019-04-25 <<< JPCERT/CC Alert 2019-04-25 >>> ISC BIND 9 に対する複数の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2019/at190019.html I. 概要 ISC BIND 9 には、複数の脆弱性があります。脆弱性を悪用された場合、リモー トからの攻撃によって、named が異常終了する可能性や、named に割り当てら れたファイル記述子のリソースが意図せず使用され枯渇することで、ネットワー ク接続やゾーンジャーナル等のファイル管理に影響する可能性があります。 なお、ISC は、脆弱性 CVE-2018-5743 に対する深刻度を「高 (High)」、脆弱 性 CVE-2019-6467 に対する深刻度を「中 (Medium)」と評価しています。脆弱 性の詳細については、ISC の情報を確認してください。 Internet Systems Consortium, Inc. (ISC) CVE-2018-5743: Limiting simultaneous TCP clients is ineffective https://kb.isc.org/docs/cve-2018-5743 Internet Systems Consortium, Inc. (ISC) CVE-2019-6467: An error in the nxdomain redirect feature can cause BIND to exit with an INSIST assertion failure in query.c https://kb.isc.org/docs/cve-2019-6467 また、上記以外に Supported Preview Edition のみが影響を受ける脆弱性 (CVE-2019-6468) があります。 影響を受けるバージョンの ISC BIND 9 を運用している場合は、「III. 対策」 を参考に、修正済みバージョンの適用について検討してください。 II. 対象 脆弱性の影響を受けるバージョンは次のとおりです。 - CVE-2018-5743 - BIND 9.14.0 - BIND 9.12系 9.12.0 から 9.12.4 まで - BIND 9.11系 9.11.0 から 9.11.6 まで - BIND Supported Preview Edition 9.9.3-S1 から 9.11.5-S3 まで - BIND Supported Preview Edition 9.11.5-S5 - CVE-2019-6467 - BIND 9.14.0 - BIND 9.12系 9.12.0 から 9.12.4 まで - CVE-2019-6468 - BIND Supported Preview Edition 9.10.5-S1 から 9.11.5-S5 まで ※ 本脆弱性は Supported Preview Edition のみが対象になります なお、CVE-2018-5743 については、既にサポートが終了している 9.9系及び 9.10系も影響を受けるとのことです。 ディストリビュータが提供している BIND をお使いの場合は、使用中のディス トリビュータなどの情報を参照してください。 III. 対策 ISC から脆弱性を修正したバージョンの ISC BIND 9 が公開されています。 また、今後各ディストリビュータなどからも、修正済みのバージョンが提供さ れると思われますので、十分なテストを実施の上、修正済みのバージョンを適 用することをご検討ください。 - BIND 9.11.6-P1 - BIND 9.12.4-P1 - BIND 9.14.1 - BIND Supported Preview Edition version 9.11.5-S6 - BIND Supported Preview Edition version 9.11.6-S1 IV. 参考情報 株式会社日本レジストリサービス (JPRS) (緊急)BIND 9.xの脆弱性(ファイル記述子の過度な消費)について (CVE-2018-5743) - フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、バージョンアップを強く推奨 https://jprs.jp/tech/security/2019-04-25-bind9-vuln-tcp-clients.html 株式会社日本レジストリサービス (JPRS) BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2019-6467) - nxdomain-redirect機能を有効にしている場合のみ対象、バージョンアップを推奨 https://jprs.jp/tech/security/2019-04-25-bind9-vuln-nxdomain-redirect.html Internet Systems Consortium, Inc. (ISC) CVE-2018-5743: Limiting simultaneous TCP clients is ineffective https://kb.isc.org/docs/cve-2018-5743 Internet Systems Consortium, Inc. (ISC) CVE-2019-6467: An error in the nxdomain redirect feature can cause BIND to exit with an INSIST assertion failure in query.c https://kb.isc.org/docs/cve-2019-6467 Internet Systems Consortium, Inc. (ISC) CVE-2019-6468: BIND Supported Preview Edition can exit with an assertion failure if nxdomain-redirect is used https://kb.isc.org/docs/cve-2019-6468 Internet Systems Consortium, Inc. (ISC) BIND 9 Security Vulnerability Matrix https://kb.isc.org/docs/aa-00913 今回の件につきまして提供いただける情報がございましたら、JPCERT/CC まで ご連絡ください。 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-6271-8901 FAX: 03-6271-8908 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJcwTWlAAoJEDF9l6Rp7OBIS9gH/1jEeACyoxFQc5W/9opQwR+L oxQ4tj8WONpTpABhYuRtKU8eD8loxQCFw28P34qp4ZI6gOfVfRl5DklY/AAkkdAc Yz8jZDc3yFZeFEJy7zyx9s/jYibwEzP70BFkQ2RXj6pDOCq1MLOy7UZQA5dj0qtE KUp7XSblVWdhMIM9PYnFqrS0EGV3bP5FBSplkUD/F/q6Uyiz0dtmI2HOyZr56GaB Kr2R59AlHh/zJCpiDVtVKMAVt1qAdY66U00Gs2SPd/Fa/tM11oGC0fnsDJynqLx7 LC/gTtO9rr+eeWQLqVshA4r3tJ2ywFfOFuB2uvqINcH3qIl3CmqFCweyTYc2z94= =1GrD -----END PGP SIGNATURE-----