ネームサーバ管理者の方々へ
一般社団法人日本ネットワークインフォメーションセンター
BIND 9における動作停止となる脆弱性について(2018年1月)
2018年1月16日(現地時間)、 BIND 9の複数のバージョンに存在する脆弱性の情報がISC (Internet Systems Consortium)から公開されました。
この脆弱性は、名前解決を行う際に正しくない順序でクリーンアップ処理をしてしまうため、 特定の内容の名前解決を処理する際にnamedがクラッシュする可能性があるというもので、 キャッシュDNSサーバに影響があります。 なお、この脆弱性はバージョン9.0.0から存在しています。
ご参考までに、アナウンスの原文へのリンクを以下に掲載します。 管理者の皆さまにおかれましては、 ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。
記
CVE-2017-3145: リゾルバの不適切な順序によるクリーンアップ処理によってnamedが停止する
概要 |
BINDが名前解決を行う際に、 いくつかのケースにおいて正しくない順序でフェッチのクリーンアップ処理をしてしまうため、 use-after-freeエラーが起き例外によってnamedがクラッシュする可能性があります。 この脆弱性はバージョン9.0.0から存在しているため、 BIND 9のいずれのバージョンにおいても修正版に更新するべきですが、 ISCが実際にクラッシュすることを確認したのはCVE-2017-3137の修正が行われている以下のバージョンかつDNSSEC署名検証を有効にした場合であるとのことです。 なお、クラッシュはnetaddr.c内の例外発生によって起こります。
9.9.9-P8 ~ 9.9.11 |
---|---|
影響を受けるバージョン |
9.0.0 ~ 9.8.x |
回避策 |
上記の特定のバージョンかつDNSSEC検証を有効にしている場合にクラッシュが発生した場合は、 一時的にDNSSEC検証を無効にすることで回避することができる可能性があります。 |
解決策 | 修正済みのバージョンに更新する。 |
修正されたバージョン |
9.9.11-P1 |
ISCからのアナウンス
- CVE-2017-3145: Improper fetch cleanup sequencing in the resolver can cause named to crash
- https://kb.isc.org/article/AA-01542
参考
CVE
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3145
JPRS
- (緊急) BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3145)
- https://jprs.jp/tech/security/2018-01-17-bind9-vuln-improperly-sequencing-cleanup.html
JPCERT
- ISC BIND 9 の脆弱性に関する注意喚起
- https://www.jpcert.or.jp/at/2018/at180005.html
以上