メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索
プリント用ページ

ネームサーバ管理者の方々へ

一般社団法人日本ネットワークインフォメーションセンター

BIND 9における複数の脆弱性について(2019年2月)

2019年2月21日(現地時間)、 BIND 9に存在する脆弱性の情報がISC (Internet Systems Consortium)から公開されました。

脆弱性の一つ目は、特殊な細工されたパケットによって named がメモリリークを起こすというものです。

脆弱性の二つ目は、managed-keys オプションで指定するトラストアンカーに、 サポートしていないアルゴリズムの鍵があった場合、その鍵へロールオーバー しようとすると例外が発生しnamedが停止するというものです。

脆弱性の三つ目は、 書き込み可能なDLZ(Dynamically Loadable Zones)に対して正しくアクセスコントロールが働かないというものです。

いずれの脆弱性においても回避策は提供されておらず、 修正されたバージョンへの更新が推奨されます。

ご参考までに、アナウンスの原文へのリンクを以下に掲載します。 管理者の皆さまにおかれましては、 ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。

CVE-2018-5744: 特殊な細工されたパケットによって named がメモリリークを起こす

概要

この脆弱性は、 特定の組み合わせのEDNSオプションが含まれたメッセージを処理する際にメモリリークを起こすというものです。 この脆弱性によって攻撃者はnamedの使用するメモリを増加させることが可能です。 そのためnamedが確保可能な上限までメモリを消費してしまう可能性があります。

影響を受けるバージョン

9.10.7 ~ 9.10.8-P1
9.11.3 ~ 9.11.5-P1
9.12.0 ~ 9.12.3-P1
9.10.7-S1 ~ 9.11.5-S3
9.13.0 ~ 9.13.6

CVE-2018-5745: managed-keys を使用しているときにサポートしていないアルゴリズムの鍵へトラストアンカーをロールオーバーしようとすると例外が発生する

概要

"managed-keys" は DNSSEC検証に用いる鍵を指定する機能です。 そのmanaged-keys 機能の不具合により、 サポートされていないアルゴリズムの鍵にロールオーバーしようとすると例外が発生しnamedが終了してしまうというものです。 この脆弱性はサポートされていないアルゴリズムの鍵を設定する必要があるため、 リモートからの攻撃は困難なものと考えられます。

しかし、最近のバージョンではいくつかのアルゴリズムのサポートが削除されたため、 意図せずこの不具合を発生させる可能性はあります。具体的には以下の通りです。

  • BIND 9.13.1 で GOST のサポートを削除
  • BIND 9.13.4 で DSA のサポートを削除
  • 将来の BIND 9.13 ブランチにおいて RSAMD5 のサポートを削除予定
影響を受けるバージョン

9.9.0 ~ 9.10.8-P1
9.11.0 ~ 9.11.5-P1
9.12.0 ~ 9.12.3-P1
9.9.3-S1 ~ 9.11.5-S3
9.13.0 ~ 9.13.6
(9.9.0 以前のバージョンは検証されていません)

CVE-2019-6465: 書き込み可能なDLZにおいてゾーン転送の制限が有効にならない

概要

この脆弱性はDLZ (Dynamically Loadable Zone)が書き込み可能な状態のときに、 ゾーン転送の制限が正しく適用されないというものです。 そのため、allow-transfer によるアクセス制限を行っていても、 許可されていないクライアントがゾーン転送の受信が可能になります。

影響を受けるバージョン

9.9.0 ~ 9.10.8-P1
9.11.0 ~ 9.11.5-P2
9.12.0 ~ 9.12.3-P2
9.9.3-S1 ~ 9.11.5-S3
9.13.0 ~ 9.13.6
(9.9.0 以前のバージョンは検証されていません)

ISCからのアナウンス

CVE-2018-5744: A specially crafted packet can cause named to leak memory
https://kb.isc.org/docs/cve-2018-5744
CVE-2018-5745: An assertion failure can occur if a trust anchor rolls over to an unsupported key algorithm when using managed-keys
https://kb.isc.org/docs/cve-2018-5745
CVE-2019-6465: Zone transfer controls for writable DLZ zones were not effective
https://kb.isc.org/docs/cve-2019-6465

脆弱性が修正されたバージョンとダウンロードページ

BIND 9.11.5-P4
BIND 9.12.3-P4
BIND 9.11.5-S5
https://www.isc.org/downloads/

参考

CVE

CVE-2018-5744
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5744
CVE-2018-5745
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5745
CVE-2018-6465
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6465

JPRSからのアナウンス

(緊急)BIND 9.xの脆弱性(メモリリークの発生)について(CVE-2018-5744) - フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2019-02-22-bind9-vuln-edns-options.html
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2018-5745)- バージョンアップを推奨 -
https://jprs.jp/tech/security/2019-02-22-bind9-vuln-managed-keys.html
BIND 9.xの脆弱性(アクセス制限の不具合によるゾーンデータの流出)について(CVE-2019-6465) - バージョンアップを推奨 -
https://jprs.jp/tech/security/2019-02-22-bind9-vuln-dlz.html

JPCERTからのアナウンス

ISC BIND 9 に対する複数の脆弱性 (CVE-2018-5744, CVE-2018-5745, CVE-2019-6465) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190009.html

以上

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

Copyright© 1996-2019 Japan Network Information Center. All Rights Reserved.