BINDの複数の脆弱性対策 (CVE-2017-3136他)

先日明らかにされたセキュリティアラート: CVE-2017-3136/3137/3138
ISC BIND に複数のサービス運用妨害 (DoS) の脆弱性

対策実施について

原文はこちら
CVE-2017-3136(英文)
https://kb.isc.org/article/AA-01465
CVE-2017-3137(英文)
https://kb.isc.org/article/AA-01466
CVE-2017-3138(英文)
https://kb.isc.org/article/AA-01471

JVNVU#97322649
ISC BIND に複数のサービス運用妨害 (DoS) の脆弱性
http://jvn.jp/vu/JVNVU97322649/index.html

本件の問題点と対策は以下の通りです。

■問題点要約

DNS64 を有効にし “break-dnssec yes;” を設定しているサーバにおいて
クエリの処理における assertion failure

CNAME または DNAME を含むレスポンスの answer セクションの処理における
assertion failure

control channel の入力処理における REQUIRE assertion failure

※assertion failureとは、プログラムが異常処理を起こすことで
プロセスダウン、サービスダウンなどを引き起こす類のエラーです。

■必要な対策

問題があるのは以下のバージョンです。

CVE-2017-3136
BIND 9.8.0 から 9.8.8-P1 まで
BIND 9.9.0 から 9.9.9-P6 まで
BIND 9.9.10b1 から 9.9.10rc1 まで
BIND 9.10.0 から 9.10.4-P6 まで
BIND 9.10.5b1 から 9.10.5rc1 まで
BIND 9.11.0 から 9.11.0-P3 まで
BIND 9.11.1b1 から 9.11.1rc1 まで
BIND 9.9.3-S1 から 9.9.9-S8 まで

CVE-2017-3137
BIND 9.9.9-P6
BIND 9.9.10b1 から 9.9.10rc1 まで
BIND 9.10.4-P6
BIND 9.10.5b1 から 9.10.5rc1まで
BIND 9.11.0-P3
BIND 9.11.1b1 から 9.11.1rc1まで
BIND 9.9.9-S8

CVE-2017-3138
BIND 9.9.9 から 9.9.9-P7 まで
BIND 9.9.10b1 から 9.9.10rc2 まで
BIND 9.10.4 から 9.10.4-P7 まで
BIND 9.10.5b1 から 9.10.5rc2 まで
BIND 9.11.0 から 9.11.0-P4 まで
BIND 9.11.1b1 から 9.11.1rc2 まで
BIND 9.9.9-S1 から 9.9.9-S9 まで

OSベンダーによってアップデートが出ており、これを適用します。

お客様のサーバーによっては対策の必要がない場合もありますが、
現時点では区別なく一斉にお送りしています。

お客様のサーバーのバージョンを確認し、問題のバージョンであれば
修正版へアップデートを実施します。

アップデート作業中にサーバーおよびサービスは停止しません。

■実施日時

   2017年04月17日以降、随時 ~ 1週間以内

修正適用中もお客様の運用に支障はありません。

コメントを残す