ネームサーバ管理者の方々へ
一般社団法人日本ネットワークインフォメーションセンター
DNAMEを含む応答の処理に関わる
BIND 9の脆弱性について(2016年11月)
2016年11月1日(現地時間)、 BIND 9の複数のバージョンに存在する脆弱性の情報がISC (Internet Systems Consortium)から公開されました。
この脆弱性は、 DNAMEを含むDNS応答の処理に不具合があり、 再帰的な名前解決のための処理をしている途中でBIND 9が動作を停止する可能性があるというものです。 主にキャッシュサーバに影響があるとされています。
管理者の皆さまにおかれましては、 ネームサーバソフトウェアのご確認と、 下記に示す修正済みバージョンに更新するなどの適切な処置をお願いいたします。
記
脆弱性の概要
ISCによりますと、 この脆弱性は、BIND 9のDNS応答を処理する箇所で、 DNAMEを含むDNS応答を処理する際にアサーションエラーが発生し、 BIND 9が動作を停止する可能性があるというものです。
エラーが発生する可能性のあるソースコードの箇所はresolver.cとdb.cで、 エラーが発生したときには下記のエラーメッセージが残るとされています。
- resolver.cの場合
- "
INSIST((valoptions & 0x0002U) != 0) failed" - db.cの場合
- "
REQUIRE(targetp != ((void *)0) && *targetp == ((void *)0)) failed"
影響を受けるバージョン
9.0.x ~ 9.8.x
9.9.0 ~ 9.9.9-P3
9.9.3-S1 ~ 9.9.9-S5
9.10.0 ~ 9.10.4-P3
9.11.0
一時的な回避策
ありません。
解決策
修正済みのバージョンに更新する。
修正されたバージョン
9.9.9-P4
9.10.4-P4
9.11.0-P1
https://www.isc.org/downloads/
または各ディストリビューションで、 脆弱性が修正されたパッケージに更新します。
ISCからのアナウンス
- CVE-2016-8864: A problem handling responses containing a DNAME answer can lead to an assertion failure
- https://kb.isc.org/article/AA-01434/
参考
BIND 9の脆弱性表(該当するBINDのバージョンを確認できる表)
- BIND 9 Security Vulnerability Matrix
- https://kb.isc.org/article/AA-00913
JPRSからのアナウンス
- (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-8864)- バージョンアップを強く推奨 -
- https://jprs.jp/tech/security/2016-11-02-bind9-vuln-dname.html
JPCERT/CCからのアナウンス
- ISC BIND 9 サービス運用妨害の脆弱性(CVE-2016-8864)に関する注意喚起
- https://www.jpcert.or.jp/at/2016/at160044.html
関係するディストリビューションの情報
Ubuntu
Debian
以上
