メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway

よく検索されるキーワード

IPv6 DNS HTTP WHOIS BGP IPv4 ドメイン名とは IPアドレス FQDN インターネット
ロゴ:JPNIC
WHOIS検索 サイト内検索

よく検索されるキーワード

ネームサーバ管理者の方々へ

一般社団法人日本ネットワークインフォメーションセンター

BIND 9における複数の脆弱性について(2016年3月)

2016年3月9日(PST)、 BIND 9の複数のバージョンに存在する脆弱性の情報がISC(Internet Systems Consortium)から公開されました。

これらの脆弱性は、 各種処理においてBIND 9が動作を停止するというもので、 キャッシュサーバおよび権威サーバに影響があります。

ご参考までに、アナウンスの原文へのリンクを以下に掲載します。 管理者の皆さまにおかれましては、 ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。

脆弱性の概要

CVE-2016-1285

rndcなどで利用するnamedのコントロールチャンネルにおいて処理に誤りがあり、 細工されたパケットをnamedが受け取った場合、 例外によって終了します。

通常、コントロールチャンネルは秘密鍵等の認証を使用しますが、 本脆弱性は認証の処理前に存在するため、 コントロールチャンネルへのネットワーク到達性がある場合、 本脆弱性の影響を受けます。

CVE-2016-2088

BIND 9.10において、DNS cookie機能を有効にしているときに、 DNS cookie処理に誤りがあり、 DNS cookieを含んだ細工されたパケットを受け取った際にnamedがINSIST例外によって終了します。 本脆弱性はDNS cookie機能を有効にした場合にのみ影響します。

CVE-2016-1286

DNAMEレコードの署名処理に誤りがあり、 細工された署名を応答として受け取った際にnamedが例外によって終了します。 本脆弱性は主にキャッシュサーバに影響がありますが、 権威サーバにおいても、応答パケットを攻撃者が制御できる環境では影響を受ける可能性があります。

本脆弱性に対しては、署名検証を無効にする、 DNSSEC機能を無効にする等の対策は回避策になりません。

影響を受けるバージョン

CVE-2016-1285

9.2.0 - 9.8.8
9.9.0 - 9.9.8-P3
9.9.3-S1 - 9.9.8-S5
9.10.0 - 9.10.3-P3

CVE-2016-2088

9.10.0 - 9.10.3-P3

CVE-2016-1286

9.0.0 - 9.8.8
9.9.0 - 9.9.8-P3
9.9.3-S1 - 9.9.8-S5
9.10.0 - 9.10.3-P3

回避策

CVE-2016-1285

コントロールチャンネルにアクセスできるホストを信頼できるシステムのみに制限します。

CVE-2016-2088

DNS cookie機能を無効にして再構築します。 ISCの配布するソースではデフォルトで無効になっていますが、 Windows向けのバイナリは有効になっているため、 利用者は修正済みのバージョンへの更新が推奨されます。

CVE-2016-1286

ありません。

解決策

修正済みのバージョンに更新する

修正されたバージョン

CVE-2016-1285

9.9.8-P4
9.10.3-P4
9.9.8-S6

CVE-2016-2088

9.10.3-P4

CVE-2016-1286

9.9.8-P4
9.10.3-P4
9.9.8-S6

https://www.isc.org/downloads/

ISCからのアナウンス

CVE-2016-1285: An error parsing input received by the rndc control channel can cause an assertion failure in sexpr.c or alist.c
https://kb.isc.org/article/AA-01352
CVE-2016-2088: A response containing multiple DNS cookies causes servers with cookie support enabled to exit with an assertion failure.
https://kb.isc.org/article/AA-01351
CVE-2016-1286: A problem parsing resource record signatures for DNAME resource records can lead to an assertion failure in resolver.c or db.c
https://kb.isc.org/article/AA-01353

参考

CVE

JPRS

(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-1285)
https://jprs.jp/tech/security/2016-03-10-bind9-vuln-controlchannel.html
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-1286)
https://jprs.jp/tech/security/2016-03-10-bind9-vuln-rrsig.html
BIND 9.10.xの脆弱性(DNSサービスの停止)について(CVE-2016-2088)
https://jprs.jp/tech/security/2016-03-10-bind9-vuln-dnscookie.html

JPCERT/CC

ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2016-1286) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160013.html

以上

このページを評価してください

このWebページは役に立ちましたか?
よろしければ回答の理由をご記入ください

それ以外にも、ページの改良点等がございましたら自由にご記入ください。

回答が必要な場合は、お問い合わせ先をご利用ください。

メールマガジン(JPNIC News & Views)登録

パスワードが記載された確認メールが発送されます。 確認メールが届かない場合は、 ご入力いただいたメールアドレスが
誤っていた可能性がありますので、 再度ご登録手続きを行ってください。

ロゴ:JPNIC

Copyright© 1996-2024 Japan Network Information Center. All Rights Reserved.