メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です
文字サイズ:
プリント用ページ

ネームサーバ管理者の方々へ

一般社団法人日本ネットワークインフォメーションセンター

BIND 9における脆弱性について(2017年2月)

2017年2月8日(現地時間)、 BIND 9の複数のバージョンに存在する脆弱性の情報がISC (Internet Systems Consortium)から公開されました。

これらの脆弱性は、 DNS64とRPZ (Response Policy Zones)を有効にしたBIND 9がある条件で動作を停止するというものです。

ご参考までに、アナウンスの原文へのリンクを以下に掲載します。 管理者の皆さまにおかれましては、 ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。

脆弱性の概要

クエリ書き換えのためにDNS64およびRPZの両方を有効にしている場合、 いくつかの条件でクエリ処理が正しくない状態で行われる可能性があります。 その結果、INSIST例外が発生しプロセスが停止したり、 NULLポインタ参照が発生します。 多くのプラットフォームではNULLポインタ参照はセグメンテーション違反を起こしプロセスが停止します。

この脆弱性はDNS64およびRPZの両方を有効にしているサーバでのみ影響を受けます。

影響を受けるバージョン

9.9.3-S1 ~ 9.9.9-S7
9.9.3 ~ 9.9.9-P5
9.9.10b1
9.10.0 ~ 9.10.4-P5
9.10.5b1
9.11.0 ~ 9.11.0-P2
9.11.1b1

回避策

DNS64またはRPZのどちらかを無効にするか、 ポリシーゾーンを制限することで脆弱性を回避できる可能性がありますが、 修正済みのバージョンに更新することが推奨されます。

解決策

修正済みのバージョンに更新する。

修正されたバージョン

9.9.9-P6
9.10.4-P6
9.11.0-P3

https://www.isc.org/downloads/

ISCからのアナウンス

CVE-2017-3135: Combination of DNS64 and RPZ Can Lead to Crash
https://kb.isc.org/article/AA-01453

参考

CVE

CVE-2017-3135
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3135

JPRSからのアナウンス

BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3135)
https://jprs.jp/tech/security/2017-02-09-bind9-vuln-dns64-rpz.html

JPCERT/CCからのアナウンス

ISC BIND 9サービス運用妨害の脆弱性(CVE-2017-3135)に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170007.html

以上

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

▲頁先頭へ