メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索

ネームサーバ管理者の方々へ

一般社団法人日本ネットワークインフォメーションセンター(JPNIC)

BIND 9における複数の脆弱性について(2019年4月)

2019年4月24日(現地時間)、 複数のバージョンのBIND 9に存在する脆弱性の情報がISC (Internet Systems Consortium)から公開されました。

脆弱性の一つ目は、 クライアントからのTCP同時接続数の制限が正しく動作せず、 システム資源の一つであるファイル記述子(file descriptor)を消費させられるというものです。

脆弱性の二つ目は、nxdomain-redirect機能を有効にしている場合、 例外によってBINDが停止することがあるというものです。

ご参考までに、アナウンスの原文へのリンクを以下に掲載します。 管理者の皆さまにおかれましては、 ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。

CVE-2018-5743: クライアントのTCP同時接続数の制限が無効になる

概要

BINDには、TCP接続のクライアント数を制限するという機能があります。 制限する数はパラメータで設定することもできますが、 設定していなくてもほとんどのサーバで問題の無い数に制限されます。 しかし、TCP接続数の制限を行うプログラムコードに誤りがあり、 本脆弱性は制限された数以上に接続できてしまうというものです。

攻撃者はこの脆弱性を利用することによってnamedが利用できるファイル記述子(file descriptor)を消費させ、 ネットワーク接続やログファイル、 ジャーナルファイルなどの操作に影響を与えることができます。

namedをOSのファイル記述子数の制限を受けないように設定していた場合、 システム全体のファイル記述子をすべて消費してしまう可能性があります。

影響を受けるバージョン

9.9.0 ~ 9.10.8-P1
9.11.0 ~ 9.11.6
9.12.0 ~ 9.12.4
9.13.0 ~ 9.13.7
9.14.0
9.9.3-S1 ~ 9.11.5-S3, 9.11.5-S5

9.9.0以前のバージョンは影響を受けるかどうか評価されていません。

回避策 ISCからは公表されていません。
修正されたバージョンとダウンロードページ

9.11.6-P1
9.12.4-P1
9.14.1
9.11.5-S6
9.11.6-S1

https://www.isc.org/downloads/

CVE-2019-6467: nxdomain redirect機能の不具合によりBINDがINSIST例外により終了する

概要

nxdomain-redirect機能は、NXDOMAIN応答となる問い合わせに対して、 サポートサイトや広告サイトへ誘導するなど別の応答を回答する機能です。

nxdomain-redirectで用いる別の名前空間が自身で提供する子孫のゾーンに含まれる場合、 nxdomain-redirect機能の不具合により例外が発生する場合があります。

攻撃者は、脆弱性の発生する設定のあるサーバに対して問い合わせを行うことによりBINDを終了させることができます。

影響を受けるバージョン

9.12.0 ~ 9.12.4
9.13 系列
9.14.0

回避策 nxdomain-redirect 機能を無効にする
修正されたバージョンとダウンロードページ

9.12.4-P1
9.14.1

https://www.isc.org/downloads/

ISCからのアナウンス

CVE-2018-5743: Limiting simultaneous TCP clients is ineffective
https://kb.isc.org/docs/cve-2018-5743
CVE-2019-6467: An error in the nxdomain redirect feature can cause BIND to exit with an INSIST assertion failure in query.c
https://kb.isc.org/docs/cve-2019-6467

脆弱性が修正されたバージョンのダウンロードページ

https://www.isc.org/downloads/

参考

CVE

CVE-2018-5743
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5743
CVE-2019-6467
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6467

JPRSからのアナウンス

(緊急)BIND 9.xの脆弱性(ファイル記述子の過度な消費)について (CVE-2018-5743) - フルリゾルバー(キャッシュDNSサーバー)/ 権威DNSサーバーの双方が対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2019-04-25-bind9-vuln-tcp-clients.html
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2019-6467) - nxdomain-redirect機能を有効にしている場合のみ対象、 バージョンアップを推奨 -
https://jprs.jp/tech/security/2019-04-25-bind9-vuln-nxdomain-redirect.html

JPCERT/CCからのアナウンス

ISC BIND 9 に対する複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190019.html

以上

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2019 Japan Network Information Center. All Rights Reserved.