CARVIEW |
Select Language
HTTP/1.1 200 OK
Date: Mon, 14 Jul 2025 04:45:38 GMT
Content-Length: 6354
Content-Type: text/html
Strict-Transport-Security: max-age=2592000
(緊急)BIND 9.xの脆弱性(権限の昇格)について(CVE-2017-3141)
株式会社日本レジストリサービス Copyright©2001-2025 Japan Registry Services Co., Ltd.
--------------------------------------------------------------------- ■(緊急)BIND 9.xの脆弱性(権限の昇格)について(CVE-2017-3141) - Windows版BINDのみ該当、バージョンアップを強く推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2017/06/15(Thu) --------------------------------------------------------------------- ▼概要 Windows版BINDの不具合が、開発元のISCから発表されました。本脆弱性によ り、所定のファイルを作成可能なローカルユーザーによる権限昇格攻撃が可 能になります。 本脆弱性は、Windows版BINDのインストーラーの不具合によるものであり、 BINDそのものの脆弱性ではありません。そのため、Windows版以外のBINDは、 本脆弱性の影響を受けません。 該当するBIND 9.xを利用しているユーザーは関連情報の収集やバージョンアッ プなど、適切な対応を速やかに取ることを強く推奨します。 ▼詳細 ▽本脆弱性の概要 Windows版BINDのインストーラーにおいて引用符で囲まれていないプログラ ムパスが使われていたことにより(*1)、所定のファイルを作成可能なロー カルユーザーによる権限昇格攻撃が可能になります。 (*1)本件による攻撃の仕組みについては、以下の情報が参考になります。 CreateProcess 関数 <https://msdn.microsoft.com/ja-jp/library/cc429066.aspx> 本脆弱性を利用した攻撃は、ローカルユーザーのみ可能です。 ▽対象となるバージョン 本脆弱性は、以下のバージョンのBIND 9が該当します。 ・9.11系列:9.11.0~9.11.1 ・9.10系列:9.10.0~9.10.5 ・9.9系列:9.9.0~9.9.10 ・上記以外の系列:9.4.0~9.8.8、9.3.2-P1~9.3.6、9.2.6-P2~9.2.9 なお、ISCでは9.8以前の系列のBIND 9のサポートを終了しており、これらの バージョンに対するセキュリティパッチはリリースしないと発表しています。 ▽影響範囲 ISCは、本脆弱性の深刻度(Severity)を「重大(Critical)」と評価して います。なお、Windows版以外のBINDは、本脆弱性の影響を受けません。 本脆弱性については、以下の脆弱性情報(*2)も併せてご参照ください。 (*2)CVE - CVE-2017-3141 <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3141> ▼一時的な回避策 ファイルシステムのパーミッション(アクセス権/アクセス制御リスト) 設定により、ローカルユーザーがnamed.exeに替わる実行ファイルを作成不 可能な状態にすることで、本脆弱性を回避できます。 ▼解決策 本脆弱性を修正したパッチバージョン(BIND 9.11.1-P1/9.10.5-P1/ 9.9.10-P1)への更新、あるいは各ディストリビューションベンダーからリ リースされる更新の適用を、速やかに実施してください。 ▼参考リンク 以下に、ISCから発表されている情報へのリンクを記載します。また、各ディ ストリビューションベンダーからの情報や前述のCVEの情報なども確認の上、 適切な対応を取ることを強く推奨します。 - ISC セキュリティアドバイザリ CVE-2017-3141: Windows service and uninstall paths are not quoted when BIND is installed <https://kb.isc.org/article/AA-01496> パッチバージョンの入手先 BIND 9.11.1-P1 <https://ftp.isc.org/isc/bind9/9.11.1-P1/bind-9.11.1-P1.tar.gz> BIND 9.10.5-P1 <https://ftp.isc.org/isc/bind9/9.10.5-P1/bind-9.10.5-P1.tar.gz> BIND 9.9.10-P1 <https://ftp.isc.org/isc/bind9/9.9.10-P1/bind-9.9.10-P1.tar.gz> ▼連絡先 本文書に関するお問い合わせは <dnstech-info@jprs.co.jp> までご連絡くだ さい。 --------------------------------------------------------------------- ▼更新履歴 2017/06/15 11:00 初版作成
株式会社日本レジストリサービス Copyright©2001-2025 Japan Registry Services Co., Ltd.