メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です
文字サイズ:
プリント用ページ

ネームサーバ管理者の方々へ

一般社団法人日本ネットワークインフォメーションセンター

BIND 9における複数の脆弱性について(2017年4月)

2017年4月12日(現地時間)、 BIND 9の複数のバージョンに存在する脆弱性の情報がISC (Internet Systems Consortium)から公開されました。

これらの脆弱性は、 各種処理においてBIND 9が動作を停止するというもので、 キャッシュサーバおよび権威サーバに影響があります。

ご参考までに、アナウンスの原文へのリンクを以下に掲載します。 管理者の皆さまにおかれましては、 ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。

CVE-2017-3136: DNS64 使用中かつ "break-dnssec yes;" としている場合に特定レコードのエラー処理で例外が発生する

概要 ある特徴を持った問い合わせによりDNS64を有効にしているサーバに例外が発生し停止します。
攻撃者は意図的に作成した問い合わせを行うことで、 DNS64機能および"break-dnssec yes;"オプションを有効にしているサーバをサービス妨害(DoS)することができます。
影響を受けるバージョン DNS64および"break-dnssec yes;"オプションを使用している場合に影響します。
9.8.0 ~ 9.8.8-P1
9.9.0 ~ 9.9.9-P6
9.9.10b1 ~ 9.9.10rc1
9.10.0 ~ 9.10.4-P6
9.10.5b1 ~ 9.10.5rc1
9.11.0 ~ 9.11.0-P3
9.11.1b1 ~ 9.11.1rc1
9.9.3-S1 ~ 9.9.9-S8
回避策 DNS64と"break-dnssec yes;"が必要なサーバについては更新するしかありません。 これら二つのオプションを同時に使用しないサーバについてはこの脆弱性の影響を受ける危険性はありません。
解決策 修正済みのバージョンに更新する。
修正されたバージョン 9.9.9-P8
9.10.4-P8
9.11.0-P5
9.9.9-S10
9.9.10rc3
9.10.5rc3
9.11.1rc3

CVE-2017-3137: CNAMEまたはDNAMEが含まれる回答を処理する際にリゾルバが停止する

概要 CNAMEまたはDNAMEが含まれている回答においてanswer sectionのレコード順序の想定に誤りがあるため、 通常の順序でないレコードを処理する際にnamedが例外によって停止する可能性があります。
この脆弱性は主にキャッシュサーバが対象ですが、 権威サーバにおいても名前解決を行う場合には影響を受ける可能性があります。
影響を受けるバージョン 9.9.9-P6
9.9.10b1 ~ 9.9.10rc1
9.10.4-P6
9.10.5b1 ~ 9.10.5rc1
9.11.0-P3
9.11.1b1 ~ 9.11.1rc1
9.9.9-S8
回避策 ありません。
解決策 修正済みのバージョンに更新する。
修正されたバージョン 9.9.9-P8
9.10.4-P8
9.11.0-P5
9.9.9-S10
9.9.10rc3
9.10.5rc3
9.11.1rc3

CVE-2017-3138: コントロールチャンネルで空(null)のコマンド文字列を受け取った場合、REQUIRE例外によりnamedが終了する

概要 namedには動作中のサーバに対して、 rndcのようなプログラムを用いてさまざまなコマンドを送ることができるコントロールチャンネルがあります。
最近行われた機能変更の際に不具合が含まれたことにより、 空(null)のコマンド文字列を受け取ったnamedがREQUIRE例外により終了します。
影響を受けるバージョン 9.9.9 ~ 9.9.9-P7
9.9.10b1 ~ 9.9.10rc2
9.10.4 ~ 9.10.4-P7
9.10.5b1 ~ 9.10.5rc2
9.11.0 ~ 9.11.0-P4
9.11.1b1 ~ 9.11.1rc2
9.9.9-S1 ~ 9.9.9-S9
回避策 ありません。 ただし、 コントロールチャンネルへのアクセス制限やTSIG等が正しく行われている場合は回避できる場合があります。
解決策 修正済みのバージョンに更新する。
修正されたバージョン 9.9.9-P8
9.10.4-P8
9.11.0-P5
9.9.9-S10
9.9.10rc3
9.10.5rc3
9.11.1rc3

修正されたバージョンの入手先

https://www.isc.org/downloads/

ISCからのアナウンス

CVE-2017-3136: An error handling synthesized records could cause an assertion failure when using DNS64 with "break-dnssec yes;"
https://kb.isc.org/article/AA-01465/74/CVE-2017-3136%3A-An-error-handling-synthesized-records-could-cause-an-assertion-failure-when-using-DNS64-with-break-dnssec-yes.html
CVE-2017-3137: A response packet can cause a resolver to terminate when processing an answer containing a CNAME or DNAME
https://kb.isc.org/article/AA-01466/74/CVE-2017-3137%3A-A-response-packet-can-cause-a-resolver-to-terminate-when-processing-an-answer-containing-a-CNAME-or-DNAME.html
CVE-2017-3138: named exits with a REQUIRE assertion failure if it receives a null command string on its control channel
https://kb.isc.org/article/AA-01471/74/CVE-2017-3138%3A-named-exits-with-a-REQUIRE-assertion-failure-if-it-receives-a-null-command-string-on-its-control-channel.html

参考

CVE

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3136
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3137
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3138

JPRS

BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3136)
https://jprs.jp/tech/security/2017-04-13-bind9-vuln-dns64.html
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3137)
https://jprs.jp/tech/security/2017-04-13-bind9-vuln-cname-dname.html
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3138)
https://jprs.jp/tech/security/2017-04-13-bind9-vuln-control-channel.html

JPCERT/CC

ISC BIND 9 に対する複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170016.html

以上

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。