ネームサーバ管理者の方々へ
一般社団法人日本ネットワークインフォメーションセンター
BIND 9における不正なリクエストによる
サーバ停止の脆弱性について(2016年9月)
2016年9月27日(現地時間)、 BIND 9の複数のバージョンに存在する脆弱性の情報がISC (Internet Systems Consortium)から公開されました。
この脆弱性は、 細工されたパケットを受けたBIND 9が動作を停止するというもので、 権威サーバ、キャッシュサーバともに影響があります。
ご参考までに、アナウンスの原文へのリンクを以下に掲載します。 管理者の皆さまにおかれましては、 ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。
記
脆弱性の概要
ISCは、 ネームサーバが応答を生成する際に致命的エラーが発生する可能性があることを公表しました。
DNSメッセージをパケットに変換する際に不具合があり、 ある特定の要求に対するレスポンスを生成するときにbuffer.cで例外が発生し、 namedが終了するというものです。
この例外は、 問い合わせのソースアドレスが許可されていなくても発生します ('allow-query' で許可されていないなど)。
影響を受けるバージョン
9.0.x ~ 9.8.x
9.9.0 ~ 9.9.9-P2
9.9.3-S1 ~ 9.9.9-S3
9.10.0 ~ 9.10.4-P2
9.11.0a1 ~ 9.11.0rc1
回避策
ありません。
解決策
修正済みのバージョンに更新する
修正されたバージョン
9.9.9-P3
9.10.4-P3
9.11.0rc3
https://www.isc.org/downloads/
ISCからのアナウンス
- CVE-2016-2776: Assertion Failure in buffer.c While Building Responses to a Specifically Constructed Request
- https://kb.isc.org/article/AA-01419/
参考
該当するCVE
JPRSからのアナウンス
- (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-2776)
- https://jprs.jp/tech/security/2016-09-28-bind9-vuln-rendering.html
JPCERT/CCからのアナウンス
- ISC BIND 9 サービス運用妨害の脆弱性(CVE-2016-2776)に関する注意喚起
- https://www.jpcert.or.jp/at/2016/at160037.html
以上
