BINDのDNAME脆弱性対策 (CVE-2016-8864)

先日明らかにされたセキュリティアラート: CVE-2016-8864
BIND の DNAME レコードを含む応答パケットの処理の脆弱性に関する対策実施について

原文はこちら
CVE-2016-8864(英文)
https://kb.isc.org/article/AA-01434

JVNVU#92683474
BIND の DNAME レコードを含む応答パケットの処理に脆弱性
http://jvn.jp/vu/JVNVU92683474/index.html

本件の問題点と対策は以下の通りです。

■問題点要約

ISC BIND には、DNAME レコードを含む応答パケットの処理に問題があり、db.c もしくは resolver.c で assertion failture (表明違反) が発生し、named が異常終了する可能性があります。

■必要な対策

問題があるのは以下のバージョンです。

・BIND 9.0.x から 9.8.x まで
・BIND 9.9.0 から 9.9.9-P3 まで
・BIND 9.9.3-S1 から 9.9.9-S5 まで
・BIND 9.10.0 から 9.10.4-P3 まで
・BIND 9.11.0

当サービスで圧倒的多数である CentOS の場合は、以下で修正済み。

・RedHatLinux/CentOS 6 は bind-9.8.2-0.47.rc1.el6_8.3

当サービスのお客様の環境、バージョンを確認し、問題のバージョンであれば修正版へアップデートを実施します。

アップデート作業中にサーバーおよびサービスは停止しません。

■実施日時

   2016年11月07日以降、随時 ~ 1週間以内

コメントを残す