各位
ISC BIND 9 の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170024.html
I. 概要ISC BIND 9 には、TSIG に関する脆弱性があります。脆弱性を悪用された場合、リモートからの攻撃によって不正な DNS ダイナミックアップデート(CVE-2017-3143) やゾーン転送 (CVE-2017-3142) が行われる可能性があります。脆弱性の詳細については、ISC の情報を確認してください。
Internet Systems Consortium, Inc. (ISC)
CVE-2017-3143: An error in TSIG authentication can permit unauthorized dynamic updates
https://kb.isc.org/article/AA-01503/
Internet Systems Consortium, Inc. (ISC)
CVE-2017-3142: An error in TSIG authentication can permit unauthorized zone transfers
https://kb.isc.org/article/AA-01504/
CVE-2017-3143 では、攻撃者が 権威 DNS サーバーにメッセージの送受信が可能で、対象となるゾーンとサービスの有効な TSIG キー名を知っている場合に影響を受けるとされています。
** 更新: 2017年 7月13日追記 ****************
なお、ISC はアドバイザリを更新しています。named の設定ファイル (named.conf)において "update-policy local;" オプションを使用している場合、既知の名前 (local-ddns) とデフォルトのアルゴリズムを用いた TSIG 鍵が暗に定義され、かつ、IP アドレスベースのアクセス制限が設定されていない状態となります。対象のバージョンを使用している場合、設定を確認することも検討してください。
**************************************************CVE-2017-3142 では、攻撃者が 権威 DNS サーバーへのメッセージの送受信が可能で、有効な TSIG キー名を知っている場合に影響を受けるとされており、TSIG認証回避のための細工したリクエストパケットを送信して、本脆弱性を悪用される可能性があるとのことです。なお、ISC は、脆弱性 CVE-2017-3143 に対する深刻度を「高 (High)」、脆弱性 CVE-2017-3142 に対する深刻度を「中 (Medium)」と評価しています。
影響を受けるバージョンの ISC BIND 9 を運用している場合は、「III. 対策」を参考に、修正済みバージョンの適用について検討してください。
II. 対象各脆弱性の影響を受けるバージョンは次のとおりです。なお、本脆弱性は TSIG によるアクセス制限を有効にしている場合に影響を受けます。
- CVE-2017-3143 : 高 (High)
- 9.9系列 9.9.10-P1 およびそれ以前
- 9.10系列 9.10.5-P1 およびそれ以前
- 9.11系列 9.11.1-P1 およびそれ以前
- サポートが終了している 9.4 系列から 9.8 系列も対象になるとされています
- CVE-2017-3142 : 中 (Medium)
- 9.9系列 9.9.10-P1 およびそれ以前
- 9.10系列 9.10.5-P1 およびそれ以前
- 9.11系列 9.11.1-P1 およびそれ以前
- サポートが終了している 9.4 系列から 9.8 系列も対象になるとされています
詳細については、ISC の情報を参照してください。
BIND 9 Security Vulnerability Matrix
https://kb.isc.org/article/AA-00913/
ディストリビュータが提供している BIND をお使いの場合は、使用中のディストリビュータなどの情報を確認してください。
III. 対策ISC から脆弱性を修正したバージョンの ISC BIND 9 が公開されています。また、今後各ディストリビュータなどからも、修正済みのバージョンが提供されると思われますので、十分なテストを実施の上、修正済みのバージョンを適用することをご検討ください。
ISC BIND
- BIND 9 version 9.9.10-P2
- BIND 9 version 9.10.5-P2
- BIND 9 version 9.11.1-P2
IV. 回避策ISC 社によると、次の回避策を適用することで、本脆弱性の影響を軽減することが可能とのことです。
- IP アドレスレンジの検証と TSIG 認証の双方を要求するアクセスコントロールリスト (ACL) を設定する
Using Access Control Lists (ACLs) with both addresses and keys
https://kb.isc.org/article/AA-00723
** 更新: 2017年 7月13日追記 ****************
設定ファイル (named.conf) において "update-policy local;" オプションを使用している場合、速やかにバージョンアップを行う必要があります。バージョンアップが不可能な場合は、設定ファイルの update-policy ステートメントを TSIG 鍵を要求する allow-update ステートメントに切り替えた上で、IP アドレスベースの ACL を追加するなどの対策を行う必要があります。
allow-update { !{ !localhost; }; key local-ddns; };
**************************************************
V. 参考情報
株式会社日本レジストリサービス (JPRS)
(緊急)BIND 9.xの脆弱性(TSIG認証の迂回によるゾーンデータの操作)について(CVE-2017-3143) - バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2017-06-30-bind9-vuln-circumvent-tsig-auth-dynamic-update.html
株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性(TSIG認証の迂回によるゾーンデータの流出)について(CVE-2017-3142) - バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2017-06-30-bind9-vuln-circumvent-tsig-auth-axfr.html
今回の件につきまして、当センターまで提供いただける情報がございましたら、ご連絡ください。
________
改訂履歴
2017-06-30 初版
2017-07-13 「I. 概要」および「IV. 回避策」の追記
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
JPCERT-AT-2017-0024
JPCERT/CC
2017-06-30(新規)
2017-07-13(更新)
JPCERT/CC Alert 2017-06-30
ISC BIND 9 の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170024.html
I. 概要ISC BIND 9 には、TSIG に関する脆弱性があります。脆弱性を悪用された場合、リモートからの攻撃によって不正な DNS ダイナミックアップデート(CVE-2017-3143) やゾーン転送 (CVE-2017-3142) が行われる可能性があります。脆弱性の詳細については、ISC の情報を確認してください。
Internet Systems Consortium, Inc. (ISC)
CVE-2017-3143: An error in TSIG authentication can permit unauthorized dynamic updates
https://kb.isc.org/article/AA-01503/
Internet Systems Consortium, Inc. (ISC)
CVE-2017-3142: An error in TSIG authentication can permit unauthorized zone transfers
https://kb.isc.org/article/AA-01504/
CVE-2017-3143 では、攻撃者が 権威 DNS サーバーにメッセージの送受信が可能で、対象となるゾーンとサービスの有効な TSIG キー名を知っている場合に影響を受けるとされています。
** 更新: 2017年 7月13日追記 ****************
なお、ISC はアドバイザリを更新しています。named の設定ファイル (named.conf)において "update-policy local;" オプションを使用している場合、既知の名前 (local-ddns) とデフォルトのアルゴリズムを用いた TSIG 鍵が暗に定義され、かつ、IP アドレスベースのアクセス制限が設定されていない状態となります。対象のバージョンを使用している場合、設定を確認することも検討してください。
**************************************************CVE-2017-3142 では、攻撃者が 権威 DNS サーバーへのメッセージの送受信が可能で、有効な TSIG キー名を知っている場合に影響を受けるとされており、TSIG認証回避のための細工したリクエストパケットを送信して、本脆弱性を悪用される可能性があるとのことです。なお、ISC は、脆弱性 CVE-2017-3143 に対する深刻度を「高 (High)」、脆弱性 CVE-2017-3142 に対する深刻度を「中 (Medium)」と評価しています。
影響を受けるバージョンの ISC BIND 9 を運用している場合は、「III. 対策」を参考に、修正済みバージョンの適用について検討してください。
II. 対象各脆弱性の影響を受けるバージョンは次のとおりです。なお、本脆弱性は TSIG によるアクセス制限を有効にしている場合に影響を受けます。
- CVE-2017-3143 : 高 (High)
- 9.9系列 9.9.10-P1 およびそれ以前
- 9.10系列 9.10.5-P1 およびそれ以前
- 9.11系列 9.11.1-P1 およびそれ以前
- サポートが終了している 9.4 系列から 9.8 系列も対象になるとされています
- CVE-2017-3142 : 中 (Medium)
- 9.9系列 9.9.10-P1 およびそれ以前
- 9.10系列 9.10.5-P1 およびそれ以前
- 9.11系列 9.11.1-P1 およびそれ以前
- サポートが終了している 9.4 系列から 9.8 系列も対象になるとされています
詳細については、ISC の情報を参照してください。
BIND 9 Security Vulnerability Matrix
https://kb.isc.org/article/AA-00913/
ディストリビュータが提供している BIND をお使いの場合は、使用中のディストリビュータなどの情報を確認してください。
III. 対策ISC から脆弱性を修正したバージョンの ISC BIND 9 が公開されています。また、今後各ディストリビュータなどからも、修正済みのバージョンが提供されると思われますので、十分なテストを実施の上、修正済みのバージョンを適用することをご検討ください。
ISC BIND
- BIND 9 version 9.9.10-P2
- BIND 9 version 9.10.5-P2
- BIND 9 version 9.11.1-P2
IV. 回避策ISC 社によると、次の回避策を適用することで、本脆弱性の影響を軽減することが可能とのことです。
- IP アドレスレンジの検証と TSIG 認証の双方を要求するアクセスコントロールリスト (ACL) を設定する
Using Access Control Lists (ACLs) with both addresses and keys
https://kb.isc.org/article/AA-00723
** 更新: 2017年 7月13日追記 ****************
設定ファイル (named.conf) において "update-policy local;" オプションを使用している場合、速やかにバージョンアップを行う必要があります。バージョンアップが不可能な場合は、設定ファイルの update-policy ステートメントを TSIG 鍵を要求する allow-update ステートメントに切り替えた上で、IP アドレスベースの ACL を追加するなどの対策を行う必要があります。
allow-update { !{ !localhost; }; key local-ddns; };
**************************************************
V. 参考情報
株式会社日本レジストリサービス (JPRS)
(緊急)BIND 9.xの脆弱性(TSIG認証の迂回によるゾーンデータの操作)について(CVE-2017-3143) - バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2017-06-30-bind9-vuln-circumvent-tsig-auth-dynamic-update.html
株式会社日本レジストリサービス (JPRS)
BIND 9.xの脆弱性(TSIG認証の迂回によるゾーンデータの流出)について(CVE-2017-3142) - バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2017-06-30-bind9-vuln-circumvent-tsig-auth-axfr.html
今回の件につきまして、当センターまで提供いただける情報がございましたら、ご連絡ください。
________
改訂履歴
2017-06-30 初版
2017-07-13 「I. 概要」および「IV. 回避策」の追記
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
前
コメント
共 有
