ネームサーバ管理者の方々へ
一般社団法人日本ネットワークインフォメーションセンター
BIND 9における脆弱性について(2017年2月)
2017年2月8日(現地時間)、 BIND 9の複数のバージョンに存在する脆弱性の情報がISC (Internet Systems Consortium)から公開されました。
これらの脆弱性は、 DNS64とRPZ (Response Policy Zones)を有効にしたBIND 9がある条件で動作を停止するというものです。
ご参考までに、アナウンスの原文へのリンクを以下に掲載します。 管理者の皆さまにおかれましては、 ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。
記
脆弱性の概要
クエリ書き換えのためにDNS64およびRPZの両方を有効にしている場合、 いくつかの条件でクエリ処理が正しくない状態で行われる可能性があります。 その結果、INSIST例外が発生しプロセスが停止したり、 NULLポインタ参照が発生します。 多くのプラットフォームではNULLポインタ参照はセグメンテーション違反を起こしプロセスが停止します。
この脆弱性はDNS64およびRPZの両方を有効にしているサーバでのみ影響を受けます。
影響を受けるバージョン
9.9.3-S1 ~ 9.9.9-S7
9.9.3 ~ 9.9.9-P5
9.9.10b1
9.10.0 ~ 9.10.4-P5
9.10.5b1
9.11.0 ~ 9.11.0-P2
9.11.1b1
回避策
DNS64またはRPZのどちらかを無効にするか、 ポリシーゾーンを制限することで脆弱性を回避できる可能性がありますが、 修正済みのバージョンに更新することが推奨されます。
解決策
修正済みのバージョンに更新する。
修正されたバージョン
9.9.9-P6
9.10.4-P6
9.11.0-P3
https://www.isc.org/downloads/
ISCからのアナウンス
- CVE-2017-3135: Combination of DNS64 and RPZ Can Lead to Crash
- https://kb.isc.org/article/AA-01453
参考
CVE
JPRSからのアナウンス
- BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3135)
- https://jprs.jp/tech/security/2017-02-09-bind9-vuln-dns64-rpz.html
JPCERT/CCからのアナウンス
- ISC BIND 9サービス運用妨害の脆弱性(CVE-2017-3135)に関する注意喚起
- https://www.jpcert.or.jp/at/2017/at170007.html
以上
