CARVIEW |
Select Language
HTTP/1.1 200 OK
Date: Mon, 14 Jul 2025 04:45:48 GMT
Content-Length: 6625
Content-Type: text/html
Strict-Transport-Security: max-age=2592000
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3145)
株式会社日本レジストリサービス Copyright©2001-2025 Japan Registry Services Co., Ltd.
--------------------------------------------------------------------- ■(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3145) - DNSSEC検証が有効に設定されている場合のみ対象、バージョンアップを強く推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2018/01/17(Wed) --------------------------------------------------------------------- ▼概要 BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービ ス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されました。 本脆弱性により、提供者が意図しないサービスの停止が発生する可能性があ ります。 該当するBIND 9のパッケージを利用しているユーザーは、各ディストリビュー ションベンダーからリリースされる情報の収集やバージョンアップなど、適 切な対応を速やかに取ることを強く推奨します。 ▼詳細 ▽本脆弱性の概要 BIND 9.xには反復検索におけるクリーンアップ処理の順序に誤りがあり、特 定のケースにおいてuse-after-freeエラーを引き起こし、namedが異常終了 を起こす障害が発生します(*1)。 (*1)本脆弱性によりnamedが異常終了した場合、netaddr.cでassertion failureを引き起こした旨のメッセージがログに出力されます。 本脆弱性により、DNSサービスの停止が発生する可能性があります。また、 本脆弱性を利用した攻撃はリモートから可能です。 ▽対象となるバージョン 本脆弱性は、以下のバージョンのBIND 9が該当します。 ・9.11系列:9.11.0~9.11.2 ・9.10系列:9.10.0~9.10.6 ・9.9系列:9.9.0~9.9.11 ・上記以外の系列:9.0.0~9.8.x ただし、ISCでは現時点において本脆弱性によるnamedの異常終了を確認して いるのは、CVE-2017-3137の修正を含んでおり、かつ、DNSSEC検証が有効に 設定されているリゾルバーのみであると発表しています。 そのため、9.11/9.10/9.9系列における該当バージョンは、以下となります。 ・9.11系列:9.11.0-P5~9.11.2 ・9.10系列:9.10.4-P8~9.10.6 ・9.9系列:9.9.9-P8~9.9.11 なお、ISCでは9.8以前の系列のBIND 9のサポートを終了しており、これらの バージョンに対するセキュリティパッチはリリースしないと発表しています。 ▽影響範囲 ISCは、本脆弱性の深刻度(Severity)を「高(High)」と評価しています。 本脆弱性は、DNSSEC検証が有効に設定されているリゾルバーのみが対象とな ります。 本脆弱性については、以下の脆弱性情報(*1)も併せてご参照ください。 (*1)CVE - CVE-2017-3145 <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3145> ▼一時的な回避策 DNSSEC検証を一時的に無効にすることで、本脆弱性を回避できます。 ▼解決策 本脆弱性を修正したパッチバージョン(BIND 9.11.2-P1/9.10.6-P1/ 9.9.11-P1)への更新、あるいは各ディストリビューションベンダーからリリー スされる更新の適用を、速やかに実施してください。 ▼参考リンク 以下に、ISCから発表されている情報へのリンクを記載します。また、各ディ ストリビューションベンダーからの情報や前述のCVEの情報なども確認の上、 適切な対応を取ることを強く推奨します。 - ISC セキュリティアドバイザリ CVE-2017-3145: CVE-2017-3145: Improper fetch cleanup sequencing in the resolver can cause named to crash <https://kb.isc.org/article/AA-01542> パッチバージョンの入手先 BIND 9.11.2-P1 <https://ftp.isc.org/isc/bind9/9.11.2-P1/bind-9.11.2-P1.tar.gz> BIND 9.10.6-P1 <https://ftp.isc.org/isc/bind9/9.10.6-P1/bind-9.10.6-P1.tar.gz> BIND 9.9.11-P1 <https://ftp.isc.org/isc/bind9/9.9.11-P1/bind-9.9.11-P1.tar.gz> ▼連絡先 本文書に関するお問い合わせは <dnstech-info@jprs.co.jp> までご連絡くだ さい。 --------------------------------------------------------------------- ▼更新履歴 2018/01/17 11:00 初版作成
株式会社日本レジストリサービス Copyright©2001-2025 Japan Registry Services Co., Ltd.