メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索

ネームサーバ管理者の方々へ

一般社団法人日本ネットワークインフォメーションセンター

DNAMEを含む応答の処理に関わる
BIND 9の脆弱性について(2016年11月)

2016年11月1日(現地時間)、 BIND 9の複数のバージョンに存在する脆弱性の情報がISC (Internet Systems Consortium)から公開されました。

この脆弱性は、 DNAMEを含むDNS応答の処理に不具合があり、 再帰的な名前解決のための処理をしている途中でBIND 9が動作を停止する可能性があるというものです。 主にキャッシュサーバに影響があるとされています。

管理者の皆さまにおかれましては、 ネームサーバソフトウェアのご確認と、 下記に示す修正済みバージョンに更新するなどの適切な処置をお願いいたします。

脆弱性の概要

ISCによりますと、 この脆弱性は、BIND 9のDNS応答を処理する箇所で、 DNAMEを含むDNS応答を処理する際にアサーションエラーが発生し、 BIND 9が動作を停止する可能性があるというものです。

エラーが発生する可能性のあるソースコードの箇所はresolver.cとdb.cで、 エラーが発生したときには下記のエラーメッセージが残るとされています。

resolver.cの場合
"INSIST((valoptions & 0x0002U) != 0) failed"
db.cの場合
"REQUIRE(targetp != ((void *)0) && *targetp == ((void *)0)) failed"

影響を受けるバージョン

9.0.x ~ 9.8.x
9.9.0 ~ 9.9.9-P3
9.9.3-S1 ~ 9.9.9-S5
9.10.0 ~ 9.10.4-P3
9.11.0

一時的な回避策

ありません。

解決策

修正済みのバージョンに更新する。

修正されたバージョン

9.9.9-P4
9.10.4-P4
9.11.0-P1

https://www.isc.org/downloads/

または各ディストリビューションで、 脆弱性が修正されたパッケージに更新します。

ISCからのアナウンス

CVE-2016-8864: A problem handling responses containing a DNAME answer can lead to an assertion failure
https://kb.isc.org/article/AA-01434/

参考

BIND 9の脆弱性表(該当するBINDのバージョンを確認できる表)

BIND 9 Security Vulnerability Matrix
https://kb.isc.org/article/AA-00913

JPRSからのアナウンス

(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-8864)- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2016-11-02-bind9-vuln-dname.html

JPCERT/CCからのアナウンス

ISC BIND 9 サービス運用妨害の脆弱性(CVE-2016-8864)に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160044.html

関係するディストリビューションの情報

Ubuntu

CVE-2016-8864
https://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-8864.html

Debian

CVE-2016-8864
https://security-tracker.debian.org/tracker/CVE-2016-8864

以上

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2019 Japan Network Information Center. All Rights Reserved.