---------------------------------------------------------------------
■BIND 9.12.xの脆弱性（DNSサービスの停止）について（CVE-2018-5736）
  - バージョンアップを強く推奨 -

                                株式会社日本レジストリサービス（JPRS）
                                            初版作成 2018/05/21（Mon）
---------------------------------------------------------------------

▼概要

  BIND 9.12.xにおける実装上の不具合により、namedに対する外部からの攻撃
  が可能となる脆弱性が、開発元のISCから発表されました。本脆弱性により、
  提供者が意図しないサービスの停止が発生する可能性があります。

  本脆弱性は、namedをセカンダリサーバー（スレーブサーバー）として運用し
  ている場合にのみ対象となります。該当するBIND 9.12.xを利用しているユー
  ザーは関連情報の収集やバージョンアップなど、適切な対応を取ることを推
  奨します。

▼詳細

▽本脆弱性の概要

  BIND 9.12.xにはゾーンデータベースの参照回数を数える処理に不具合があ
  り、ゾーン転送が複数回立て続けに実行された場合にrbtdb.cにおいて
  assertion failureを引き起こし、namedが異常終了する障害が発生します。

  通常の運用ではこのような状況は発生しませんが、攻撃者が当該サーバーに
  有効なNOFITYメッセージを送りつけることができる場合、外部からゾーン転
  送を開始させることが可能になります。

▽対象となるバージョン

  本脆弱性は、以下のバージョンのBIND 9が該当します。

  ・9.12系列：9.12.0～9.12.1

▽影響範囲

  ISCは、本脆弱性の深刻度（Severity）を「中（Medium）」と評価していま
  す。

  本脆弱性は、namedにおいて少なくとも一つのゾーンをtype slaveとして設
  定しており、かつ、NOTIFYメッセージの受け取りを許可している場合にのみ
  対象となります。

  本脆弱性については、以下の脆弱性情報（*1）も併せてご参照ください。

  （*1）CVE - CVE-2018-5736
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5736>

▼一時的な回避策

  許可された送信元からのNOTIFYメッセージのみを受け付けるようにすること
  で、本脆弱性のリスクを軽減できます。

▼解決策

  本脆弱性を修正したパッチバージョン（BIND 9.12.1-P2）への更新、あるい
  は各ディストリビューションベンダーからリリースされる更新の適用を、速
  やかに実施してください。

▼参考リンク

  以下に、ISCから発表されている情報へのリンクを記載します。また、各ディ
  ストリビューションベンダーからの情報や前述のCVEの情報なども確認の上、
  適切な対応を取ることを強く推奨します。

  - ISC

   セキュリティアドバイザリ

    CVE-2018-5736: Multiple transfers of a zone in quick succession
                   can cause an assertion failure in rbtdb.c
    <https://kb.isc.org/article/AA-01602>

   パッチバージョンの入手先

    BIND 9.12.1-P2
    <https://ftp.isc.org/isc/bind9/9.12.1-P2/bind-9.12.1-P2.tar.gz>

▼連絡先

  本文書に関するお問い合わせは <dnstech-info@jprs.co.jp> までご連絡くだ
  さい。

---------------------------------------------------------------------
▼更新履歴
  2018/05/21 11:00 初版作成