-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2019-0043
                                                             JPCERT/CC
                                                      2019-11-21(新規)
                                                      2019-12-06(更新)

                  <<< JPCERT/CC Alert 2019-11-21 >>>

                  ISC BIND 9 の脆弱性に関する注意喚起

            https://www.jpcert.or.jp/at/2019/at190043.html


I. 概要
ISC BIND 9 には、TCP パイプラインに関する脆弱性があります。脆弱性を悪
用された場合、リモートからの攻撃によって、システムリソースを過度に消
費し、結果として named が一時的に停止したり、サービスの品質の低下が
発生する可能性があります。
なお、ISC は、脆弱性 CVE-2019-6477 に対する深刻度を「中 (Medium)」と評
価しています。脆弱性の詳細については、ISC の情報を確認してください。

    Internet Systems Consortium, Inc. (ISC)
    CVE-2019-6477: TCP-pipelined queries can bypass tcp-clients limit
    https://kb.isc.org/docs/cve-2019-6477

影響を受けるバージョンの ISC BIND 9 を運用している場合は、「III. 対策」
を参考に、修正済みバージョンの適用について検討してください。


II. 対象
脆弱性の影響を受けるバージョンは次のとおりです。

    - BIND 9.14系 9.14.1 から 9.14.7 まで
    - BIND 9.12系 9.12.4-P1 から 9.12.4-P2 まで
    - BIND 9.11系 9.11.6-P1 から 9.11.12 まで
    - BIND Supported Preview Edition 9.11.5-S6 から 9.11.12-S1 まで

ディストリビュータが提供している BIND をお使いの場合は、使用中のディス
トリビュータなどの情報を参照してください。 なお、ISC によると BIND 9.10系
以前のサポートが終了しているバージョンについて当該脆弱性の影響の有無は
評価されていないとのことです。


III. 対策
ISC から脆弱性を修正したバージョンの ISC BIND 9 が公開されています。
また、今後各ディストリビュータなどからも、修正済みのバージョンが提供さ
れると思われますので、十分なテストを実施の上、修正済みのバージョンを適
用することをご検討ください。

  - BIND 9.11.13 
  - BIND 9.14.8 
  - BIND Supported Preview Edition version 9.11.13-S1

また、以下の設定によって、サーバの TCP パイプラインを無効化することで、
本脆弱性の影響を回避することができます。ただし、'reload' や 'reconfig' ではなく、BIND を再起動する必要があります。

keep-response-order { any; };


IV. 参考情報
    株式会社日本レジストリサービス (JPRS)
   （緊急）BIND 9.xの脆弱性（システムリソースの過度な消費）について
     （CVE-2019-6477） - フルリゾルバー（キャッシュDNSサーバー）／権威DNSサーバーの双方が対象、バージョンアップを強く推奨 -
    https://jprs.jp/tech/security/2019-11-21-bind9-vuln-tcp-pipelining.html

    Internet Systems Consortium, Inc. (ISC)
    BIND 9 Security Vulnerability Matrix
    https://kb.isc.org/docs/aa-00913


今回の件につきまして提供いただける情報がございましたら、JPCERT/CC まで
ご連絡ください。

** 更新: 2019年12月6日追記 ********************************************
ご連絡用の電話番号に誤りがあり修正しました。ご迷惑をおかけいたしました。
***********************************************************************

________
改訂履歴
2019-11-21 初版
2019-12-06 連絡用電話番号の修正

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: ew-info@jpcert.or.jp
TEL: 03-6811-0610  FAX: 03-6271-8908
https://www.jpcert.or.jp/
-----BEGIN PGP SIGNATURE-----
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=rrHj
-----END PGP SIGNATURE-----