メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です
文字サイズ:
プリント用ページ

ネームサーバ管理者の方々へ

一般社団法人日本ネットワークインフォメーションセンター

BIND 9における動作停止となる脆弱性について(2018年1月)

2018年1月16日(現地時間)、 BIND 9の複数のバージョンに存在する脆弱性の情報がISC (Internet Systems Consortium)から公開されました。

この脆弱性は、名前解決を行う際に正しくない順序でクリーンアップ処理をしてしまうため、 特定の内容の名前解決を処理する際にnamedがクラッシュする可能性があるというもので、 キャッシュDNSサーバに影響があります。 なお、この脆弱性はバージョン9.0.0から存在しています。

ご参考までに、アナウンスの原文へのリンクを以下に掲載します。 管理者の皆さまにおかれましては、 ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。

CVE-2017-3145: リゾルバの不適切な順序によるクリーンアップ処理によってnamedが停止する

概要

BINDが名前解決を行う際に、 いくつかのケースにおいて正しくない順序でフェッチのクリーンアップ処理をしてしまうため、 use-after-freeエラーが起き例外によってnamedがクラッシュする可能性があります。

この脆弱性はバージョン9.0.0から存在しているため、 BIND 9のいずれのバージョンにおいても修正版に更新するべきですが、 ISCが実際にクラッシュすることを確認したのはCVE-2017-3137の修正が行われている以下のバージョンかつDNSSEC署名検証を有効にした場合であるとのことです。 なお、クラッシュはnetaddr.c内の例外発生によって起こります。

9.9.9-P8 ~ 9.9.11
9.10.4-P8 ~ 9.10.6
9.11.0-P5 ~ 9.11.2
9.9.9-S10 ~ 9.9.11-S1
9.10.5-S1 ~ 9.10.6-S1
9.12.0a1 ~ 9.12.0rc1

影響を受けるバージョン

9.0.0 ~ 9.8.x
9.9.0 ~ 9.9.11
9.10.0 ~ 9.10.6
9.11.0 ~ 9.11.2
9.9.3-S1 ~ 9.9.11-S1
9.10.5-S1 ~ 9.10.6-S1
9.12.0a1 ~ 9.12.0rc1

回避策

上記の特定のバージョンかつDNSSEC検証を有効にしている場合にクラッシュが発生した場合は、 一時的にDNSSEC検証を無効にすることで回避することができる可能性があります。

解決策

修正済みのバージョンに更新する。

修正されたバージョン

9.9.11-P1
9.10.6-P1
9.11.2-P1
9.12.0rc2
9.9.11-S2
9.10.6-S2

ISCからのアナウンス

CVE-2017-3145: Improper fetch cleanup sequencing in the resolver can cause named to crash
https://kb.isc.org/article/AA-01542

参考

CVE

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3145

JPRS

(緊急) BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3145)
https://jprs.jp/tech/security/2018-01-17-bind9-vuln-improperly-sequencing-cleanup.html

JPCERT

ISC BIND 9 の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180005.html

以上

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

▲頁先頭へ