BIND 9における複数の脆弱性について(2016年3月)

2016年3月9日(PST)、 BIND 9の複数のバージョンに存在する脆弱性の情報がISC(Internet Systems Consortium)から公開されました。

これらの脆弱性は、各種処理においてBIND 9が動作を停止するというもので、キャッシュサーバおよび権威サーバに影響があります。

ご参考までに、アナウンスの原文へのリンクを以下に掲載します。管理者の皆さまにおかれましては、ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。

記

脆弱性の概要

rndcなどで利用するnamedのコントロールチャンネルにおいて処理に誤りがあり、細工されたパケットをnamedが受け取った場合、例外によって終了します。

通常、コントロールチャンネルは秘密鍵等の認証を使用しますが、本脆弱性は認証の処理前に存在するため、コントロールチャンネルへのネットワーク到達性がある場合、本脆弱性の影響を受けます。

BIND 9.10において、DNS cookie機能を有効にしているときに、 DNS cookie処理に誤りがあり、 DNS cookieを含んだ細工されたパケットを受け取った際にnamedがINSIST例外によって終了します。本脆弱性はDNS cookie機能を有効にした場合にのみ影響します。

DNAMEレコードの署名処理に誤りがあり、細工された署名を応答として受け取った際にnamedが例外によって終了します。本脆弱性は主にキャッシュサーバに影響がありますが、権威サーバにおいても、応答パケットを攻撃者が制御できる環境では影響を受ける可能性があります。

本脆弱性に対しては、署名検証を無効にする、 DNSSEC機能を無効にする等の対策は回避策になりません。

9.2.0 - 9.8.8
9.9.0 - 9.9.8-P3
9.9.3-S1 - 9.9.8-S5
9.10.0 - 9.10.3-P3

9.10.0 - 9.10.3-P3

9.0.0 - 9.8.8
9.9.0 - 9.9.8-P3
9.9.3-S1 - 9.9.8-S5
9.10.0 - 9.10.3-P3

コントロールチャンネルにアクセスできるホストを信頼できるシステムのみに制限します。

DNS cookie機能を無効にして再構築します。 ISCの配布するソースではデフォルトで無効になっていますが、 Windows向けのバイナリは有効になっているため、利用者は修正済みのバージョンへの更新が推奨されます。

ありません。

修正済みのバージョンに更新する

9.9.8-P4
9.10.3-P4
9.9.8-S6

9.10.3-P4

9.9.8-P4
9.10.3-P4
9.9.8-S6

CVE-2016-1285: An error parsing input received by the rndc control channel can cause an assertion failure in sexpr.c or alist.c: https://kb.isc.org/article/AA-01352
CVE-2016-2088: A response containing multiple DNS cookies causes servers with cookie support enabled to exit with an assertion failure.: https://kb.isc.org/article/AA-01351
CVE-2016-1286: A problem parsing resource record signatures for DNAME resource records can lead to an assertion failure in resolver.c or db.c: https://kb.isc.org/article/AA-01353