先日明らかにされたセキュリティアラート: CVE-2017-3136/3137/3138
ISC BIND に複数のサービス運用妨害 (DoS) の脆弱性
対策実施について
原文はこちら
CVE-2017-3136(英文)
https://kb.isc.org/article/AA-01465
CVE-2017-3137(英文)
https://kb.isc.org/article/AA-01466
CVE-2017-3138(英文)
https://kb.isc.org/article/AA-01471
JVNVU#97322649
ISC BIND に複数のサービス運用妨害 (DoS) の脆弱性
http://jvn.jp/vu/JVNVU97322649/index.html
本件の問題点と対策は以下の通りです。
■問題点要約
DNS64 を有効にし “break-dnssec yes;” を設定しているサーバにおいて
クエリの処理における assertion failure
CNAME または DNAME を含むレスポンスの answer セクションの処理における
assertion failure
control channel の入力処理における REQUIRE assertion failure
※assertion failureとは、プログラムが異常処理を起こすことで
プロセスダウン、サービスダウンなどを引き起こす類のエラーです。
■必要な対策
問題があるのは以下のバージョンです。
CVE-2017-3136
BIND 9.8.0 から 9.8.8-P1 まで
BIND 9.9.0 から 9.9.9-P6 まで
BIND 9.9.10b1 から 9.9.10rc1 まで
BIND 9.10.0 から 9.10.4-P6 まで
BIND 9.10.5b1 から 9.10.5rc1 まで
BIND 9.11.0 から 9.11.0-P3 まで
BIND 9.11.1b1 から 9.11.1rc1 まで
BIND 9.9.3-S1 から 9.9.9-S8 まで
CVE-2017-3137
BIND 9.9.9-P6
BIND 9.9.10b1 から 9.9.10rc1 まで
BIND 9.10.4-P6
BIND 9.10.5b1 から 9.10.5rc1まで
BIND 9.11.0-P3
BIND 9.11.1b1 から 9.11.1rc1まで
BIND 9.9.9-S8
CVE-2017-3138
BIND 9.9.9 から 9.9.9-P7 まで
BIND 9.9.10b1 から 9.9.10rc2 まで
BIND 9.10.4 から 9.10.4-P7 まで
BIND 9.10.5b1 から 9.10.5rc2 まで
BIND 9.11.0 から 9.11.0-P4 まで
BIND 9.11.1b1 から 9.11.1rc2 まで
BIND 9.9.9-S1 から 9.9.9-S9 まで
OSベンダーによってアップデートが出ており、これを適用します。
お客様のサーバーによっては対策の必要がない場合もありますが、
現時点では区別なく一斉にお送りしています。
お客様のサーバーのバージョンを確認し、問題のバージョンであれば
修正版へアップデートを実施します。
アップデート作業中にサーバーおよびサービスは停止しません。
■実施日時
2017年04月17日以降、随時 ~ 1週間以内
修正適用中もお客様の運用に支障はありません。