DNS関連技術情報のトップへ戻る

---------------------------------------------------------------------
■(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3145)
   - DNSSEC検証が有効に設定されている場合のみ対象、バージョンアップを強く推奨 -

                                株式会社日本レジストリサービス(JPRS)
                                            初版作成 2018/01/17(Wed)
---------------------------------------------------------------------

▼概要

  BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービ
  ス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されました。
  本脆弱性により、提供者が意図しないサービスの停止が発生する可能性があ
  ります。

  該当するBIND 9のパッケージを利用しているユーザーは、各ディストリビュー
  ションベンダーからリリースされる情報の収集やバージョンアップなど、適
  切な対応を速やかに取ることを強く推奨します。

▼詳細

▽本脆弱性の概要

  BIND 9.xには反復検索におけるクリーンアップ処理の順序に誤りがあり、特
  定のケースにおいてuse-after-freeエラーを引き起こし、namedが異常終了
  を起こす障害が発生します(*1)。

  (*1)本脆弱性によりnamedが異常終了した場合、netaddr.cでassertion
        failureを引き起こした旨のメッセージがログに出力されます。

  本脆弱性により、DNSサービスの停止が発生する可能性があります。また、
  本脆弱性を利用した攻撃はリモートから可能です。

▽対象となるバージョン

  本脆弱性は、以下のバージョンのBIND 9が該当します。

  ・9.11系列:9.11.0~9.11.2
  ・9.10系列:9.10.0~9.10.6
  ・9.9系列:9.9.0~9.9.11
  ・上記以外の系列:9.0.0~9.8.x

  ただし、ISCでは現時点において本脆弱性によるnamedの異常終了を確認して
  いるのは、CVE-2017-3137の修正を含んでおり、かつ、DNSSEC検証が有効に
  設定されているリゾルバーのみであると発表しています。

  そのため、9.11/9.10/9.9系列における該当バージョンは、以下となります。

  ・9.11系列:9.11.0-P5~9.11.2
  ・9.10系列:9.10.4-P8~9.10.6
  ・9.9系列:9.9.9-P8~9.9.11

  なお、ISCでは9.8以前の系列のBIND 9のサポートを終了しており、これらの
  バージョンに対するセキュリティパッチはリリースしないと発表しています。

▽影響範囲

  ISCは、本脆弱性の深刻度(Severity)を「高(High)」と評価しています。

  本脆弱性は、DNSSEC検証が有効に設定されているリゾルバーのみが対象とな
  ります。

  本脆弱性については、以下の脆弱性情報(*1)も併せてご参照ください。

  (*1)CVE - CVE-2017-3145
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3145>

▼一時的な回避策

  DNSSEC検証を一時的に無効にすることで、本脆弱性を回避できます。

▼解決策

  本脆弱性を修正したパッチバージョン(BIND 9.11.2-P1/9.10.6-P1/
  9.9.11-P1)への更新、あるいは各ディストリビューションベンダーからリリー
  スされる更新の適用を、速やかに実施してください。

▼参考リンク

  以下に、ISCから発表されている情報へのリンクを記載します。また、各ディ
  ストリビューションベンダーからの情報や前述のCVEの情報なども確認の上、
  適切な対応を取ることを強く推奨します。

  - ISC

   セキュリティアドバイザリ

    CVE-2017-3145: CVE-2017-3145: Improper fetch cleanup sequencing in
                   the resolver can cause named to crash
    <https://kb.isc.org/article/AA-01542>

   パッチバージョンの入手先

    BIND 9.11.2-P1
    <https://ftp.isc.org/isc/bind9/9.11.2-P1/bind-9.11.2-P1.tar.gz>
    BIND 9.10.6-P1
    <https://ftp.isc.org/isc/bind9/9.10.6-P1/bind-9.10.6-P1.tar.gz>
    BIND 9.9.11-P1
    <https://ftp.isc.org/isc/bind9/9.9.11-P1/bind-9.9.11-P1.tar.gz>

▼連絡先

  本文書に関するお問い合わせは <dnstech-info@jprs.co.jp> までご連絡くだ
  さい。

---------------------------------------------------------------------
▼更新履歴
  2018/01/17 11:00 初版作成


株式会社日本レジストリサービス Copyright©2001-2018 Japan Registry Services Co., Ltd.