メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索

ネームサーバ管理者の方々へ

一般社団法人日本ネットワークインフォメーションセンター

BIND 9における複数の脆弱性について(2017年1月)

2017年1月11日(現地時間)、 BIND 9の複数のバージョンに存在する脆弱性の情報がISC (Internet Systems Consortium)から公開されました。

これらの脆弱性は、 各種処理においてBIND 9が動作を停止するというもので、 キャッシュサーバおよび権威サーバに影響があります。

ご参考までに、アナウンスの原文へのリンクを以下に掲載します。 管理者の皆さまにおかれましては、 ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。

CVE-2016-9131: ANY問い合わせに対する細工された応答によって例外が発生する

概要 タイプがANYの問い合わせに対して細工された応答をキャッシュサーバが受け取った場合、 応答に含まれるレコードをキャッシュに保存する際に例外によってサーバが動作を停止します。 この脆弱性は主にキャッシュサーバに影響がありますが、 権威サーバも限定された状況下で影響を受ける可能性があります。
影響を受けるバージョン 9.4.0 ~ 9.6-ESV-R11-W1
9.8.5 ~ 9.8.8
9.9.3 ~ 9.9.9-P4
9.9.9-S1 ~ 9.9.9-S6
9.10.0 ~ 9.10.4-P4
9.11.0 ~ 9.11.0-P1
回避策 サーバへのANY問い合わせをフィルタすることでこの脆弱性を回避することができる可能性があります。
解決策 修正済みのバージョンに更新する。
修正されたバージョン 9.9.9-P5
9.10.4-P5
9.11.0-P2
9.9.9-S7

CVE-2016-9147: 不正なDNSSEC情報を含む応答のエラー処理において例外が発生する

概要 細工されたDNSSECに関するレコードが応答に含まれていた場合、 例外によってサーバが動作を停止します。 この脆弱性はDNSSEC検証が有効・無効にかかわらず発生します。 主にキャッシュサーバに影響がありますが、 権威サーバも限定された状況下で影響を受ける可能性があります。
影響を受けるバージョン 9.9.9-P4
9.9.9-S6
9.10.4-P4
9.11.0-P1
回避策 ありません。
解決策 修正済みのバージョンに更新する。
修正されたバージョン 9.9.9-P5
9.10.4-P5
9.11.0-P2
9.9.9-S7

CVE-2016-9444: 異常なフォーマットのDSレコードによって例外が発生する

概要 異常なフォーマットのDSレコードを回答として受け取った場合、 例外によってサーバが動作を停止します。 この脆弱性は主にキャッシュサーバに影響がありますが、 権威サーバも限定された状況下で影響を受ける可能性があります。
影響を受けるバージョン 9.6-ESV-R9 ~ 9.6-ESV-R11-W1
9.8.5 ~ 9.8.8
9.9.3 ~ 9.9.9-P4
9.9.9-S1 ~ 9.9.9-S6
9.10.0 ~ 9.10.4-P4
9.11.0 ~ 9.11.0-P1
回避策 ありません。
解決策 修正済みのバージョンに更新する。
修正されたバージョン 9.9.9-P5
9.10.4-P5
9.11.0-P2
9.9.9-S7

CVE-2016-9778: nxdomain-redirect機能を使用している際に不正な問い合わせに対するエラー処理で例外が発生する

概要 nxdomain-redirect機能を使用しており、 かつそのゾーンの権威となっているサーバが、 特定の問い合わせに対してエラー処理をする際に例外が発生し停止します。 この脆弱性は"nxdomain-redirect"機能に対するものであり、 "type redirect"を使用したリダイレクションには影響はありません。
影響を受けるバージョン 9.9.8-S1 ~ 9.9.8-S3
9.9.9-S1 ~ 9.9.9-S6
9.11.0 ~ 9.11.0-P1
回避策 同じサーバで提供しているゾーン情報について、 通常の(リダイレクトではない)NXDOMAINを応答するように設定するか、 nxdomain-redirect機能のかわりにtype redirect機能を使用する。
解決策 修正済みのバージョンに更新する。
修正されたバージョン 9.11.0-P2
9.9.9-S7

修正されたバージョンの入手先

 https://www.isc.org/downloads/

ISCからのアナウンス

CVE-2016-9131: A malformed response to an ANY query can cause an assertion failure during recursion
https://kb.isc.org/article/AA-01439/74/CVE-2016-9131%3A-A-malformed-response-to-an-ANY-query-can-cause-an-assertion-failure-during-recursion.html
CVE-2016-9147: An error handling a query response containing inconsistent DNSSEC information could cause an assertion failure
https://kb.isc.org/article/AA-01440/74/CVE-2016-9147%3A-An-error-handling-a-query-response-containing-inconsistent-DNSSEC-information-could-cause-an-assertion-failure-.html
CVE-2016-9444: An unusually-formed DS record response could cause an assertion failure
https://kb.isc.org/article/AA-01441/74/CVE-2016-9444%3A-An-unusually-formed-DS-record-response-could-cause-an-assertion-failure.html
CVE-2016-9778: An error handling certain queries using the nxdomain-redirect feature could cause a REQUIRE assertion failure in db.c
https://kb.isc.org/article/AA-01442/74/CVE-2016-9778%3A-An-error-handling-certain-queries-using-the-nxdomain-redirect-feature-could-cause-a-REQUIRE-assertion-failure-in-db.c.html

参考

CVE

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9131
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9147
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9444
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9778

JPRSからのアナウンス

(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-9131)
- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2017-01-12-bind9-vuln-malformed-any.html
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-9147)
- DNSSEC検証を実施していない場合も対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2017-01-12-bind9-vuln-inconsistent-dnssec.html
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-9444)
- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2017-01-12-bind9-vuln-unusually-formed-ds.html
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-9778)
- nxdomain-redirectオプションを指定している場合のみ対象、バージョンアップを推奨 -
https://jprs.jp/tech/security/2017-01-12-bind9-vuln-nxdomain-redirect.html

JPCERT/CCからのアナウンス

ISC BIND 9 に対する複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170004.html

以上

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2020 Japan Network Information Center. All Rights Reserved.