BIND 9における複数の脆弱性について(2017年1月)

2017年1月11日(現地時間)、 BIND 9の複数のバージョンに存在する脆弱性の情報がISC (Internet Systems Consortium)から公開されました。

これらの脆弱性は、各種処理においてBIND 9が動作を停止するというもので、キャッシュサーバおよび権威サーバに影響があります。

ご参考までに、アナウンスの原文へのリンクを以下に掲載します。管理者の皆さまにおかれましては、ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。

記

CVE-2016-9131: ANY問い合わせに対する細工された応答によって例外が発生する

概要	タイプがANYの問い合わせに対して細工された応答をキャッシュサーバが受け取った場合、応答に含まれるレコードをキャッシュに保存する際に例外によってサーバが動作を停止します。この脆弱性は主にキャッシュサーバに影響がありますが、権威サーバも限定された状況下で影響を受ける可能性があります。
影響を受けるバージョン	9.4.0 ～ 9.6-ESV-R11-W1 9.8.5 ～ 9.8.8 9.9.3 ～ 9.9.9-P4 9.9.9-S1 ～ 9.9.9-S6 9.10.0 ～ 9.10.4-P4 9.11.0 ～ 9.11.0-P1
回避策	サーバへのANY問い合わせをフィルタすることでこの脆弱性を回避することができる可能性があります。
解決策	修正済みのバージョンに更新する。
修正されたバージョン	9.9.9-P5 9.10.4-P5 9.11.0-P2 9.9.9-S7

概要	細工されたDNSSECに関するレコードが応答に含まれていた場合、例外によってサーバが動作を停止します。この脆弱性はDNSSEC検証が有効・無効にかかわらず発生します。主にキャッシュサーバに影響がありますが、権威サーバも限定された状況下で影響を受ける可能性があります。
影響を受けるバージョン	9.9.9-P4 9.9.9-S6 9.10.4-P4 9.11.0-P1
回避策	ありません。
解決策	修正済みのバージョンに更新する。
修正されたバージョン	9.9.9-P5 9.10.4-P5 9.11.0-P2 9.9.9-S7

概要	異常なフォーマットのDSレコードを回答として受け取った場合、例外によってサーバが動作を停止します。この脆弱性は主にキャッシュサーバに影響がありますが、権威サーバも限定された状況下で影響を受ける可能性があります。
影響を受けるバージョン	9.6-ESV-R9 ～ 9.6-ESV-R11-W1 9.8.5 ～ 9.8.8 9.9.3 ～ 9.9.9-P4 9.9.9-S1 ～ 9.9.9-S6 9.10.0 ～ 9.10.4-P4 9.11.0 ～ 9.11.0-P1
回避策	ありません。
解決策	修正済みのバージョンに更新する。
修正されたバージョン	9.9.9-P5 9.10.4-P5 9.11.0-P2 9.9.9-S7

概要	nxdomain-redirect機能を使用しており、かつそのゾーンの権威となっているサーバが、特定の問い合わせに対してエラー処理をする際に例外が発生し停止します。この脆弱性は"nxdomain-redirect"機能に対するものであり、 "type redirect"を使用したリダイレクションには影響はありません。
影響を受けるバージョン	9.9.8-S1 ～ 9.9.8-S3 9.9.9-S1 ～ 9.9.9-S6 9.11.0 ～ 9.11.0-P1
回避策	同じサーバで提供しているゾーン情報について、通常の(リダイレクトではない)NXDOMAINを応答するように設定するか、 nxdomain-redirect機能のかわりにtype redirect機能を使用する。
解決策	修正済みのバージョンに更新する。
修正されたバージョン	9.11.0-P2 9.9.9-S7

CVE-2016-9131: A malformed response to an ANY query can cause an assertion failure during recursion: https://kb.isc.org/article/AA-01439/74/CVE-2016-9131%3A-A-malformed-response-to-an-ANY-query-can-cause-an-assertion-failure-during-recursion.html
CVE-2016-9147: An error handling a query response containing inconsistent DNSSEC information could cause an assertion failure: https://kb.isc.org/article/AA-01440/74/CVE-2016-9147%3A-An-error-handling-a-query-response-containing-inconsistent-DNSSEC-information-could-cause-an-assertion-failure-.html
CVE-2016-9444: An unusually-formed DS record response could cause an assertion failure: https://kb.isc.org/article/AA-01441/74/CVE-2016-9444%3A-An-unusually-formed-DS-record-response-could-cause-an-assertion-failure.html
CVE-2016-9778: An error handling certain queries using the nxdomain-redirect feature could cause a REQUIRE assertion failure in db.c: https://kb.isc.org/article/AA-01442/74/CVE-2016-9778%3A-An-error-handling-certain-queries-using-the-nxdomain-redirect-feature-could-cause-a-REQUIRE-assertion-failure-in-db.c.html

(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-9131) - バージョンアップを強く推奨 -: https://jprs.jp/tech/security/2017-01-12-bind9-vuln-malformed-any.html
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-9147) - DNSSEC検証を実施していない場合も対象、バージョンアップを強く推奨 -: https://jprs.jp/tech/security/2017-01-12-bind9-vuln-inconsistent-dnssec.html
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-9444) - バージョンアップを強く推奨 -: https://jprs.jp/tech/security/2017-01-12-bind9-vuln-unusually-formed-ds.html
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-9778) - nxdomain-redirectオプションを指定している場合のみ対象、バージョンアップを推奨 -: https://jprs.jp/tech/security/2017-01-12-bind9-vuln-nxdomain-redirect.html