ex1-lab

Linux, CentOS, Mac OS X, Windows, 仮想化, Apache等のLinux中心に気になることをメモがわりに・・・

DNSサーバー BIND 9.xの脆弱性について(CVE-2015-5477)

    この記事は約3分で読むことができます。

DNS サーバの BIND に、遠隔からの攻撃によって異常終了し、サービス不能 (DoS) 状態となる脆弱性が発表されました。
日本国内において本脆弱性を悪用した攻撃を確認したとの情報がありますので、DNS サーバのアップデートを適用して下さい。

(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について
DNS サーバ BIND の脆弱性対策について(CVE-2015-5477)
ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2015-5477) に関する注意喚起
Vulnerability Summary for CVE-2015-5477

概要

BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されました。

TKEYは、DNSのトランザクションをやりとりする2台のホスト間で用いる秘密鍵(共有鍵)を自動生成するための機能で、RFC 2930で定義されています。

BIND 9.xにはTKEYリソースレコード(RR)の取り扱いに不具合があり、TKEY RRに対する特別に作成された問い合わせにより、namedが異常終了を起こす障害が発生します(*1)(*2)。

本脆弱性により、DNSサービスの停止が発生する可能性があります。また、本脆弱性を利用した攻撃はリモートから可能です。

(*1)本脆弱性によりnamedが異常終了した場合、"REQUIRE" assertionfailureを引き起こした旨のメッセージがログに出力されます。

(*2)TKEYの機能を使用していない場合も、本脆弱性の対象となります。

対象となるバージョン

BIND 9.1.0以降のすべてのバージョンのBIND 9が該当します。 当サービスで提供している RHEL や CentOS も対象となります。

  • BIND 9.1.0 から 9.8.x までのバージョン
  • BIND 9.9.0 から 9.9.7-P1 までのバージョン
  • BIND 9.10.0 から 9.10.2-P2 までのバージョン

対策

named の設定ファイル(named.conf)等での設定オプションでは回避出来ません。本脆弱性のその他の回避策もありません。
対策は、アップデートする必要があります

パッチバージョンの入手先

BIND 9.10.2-P3
・https://ftp.isc.org/isc/bind9/9.10.2-P3/bind-9.10.2-P3.tar.gz
BIND 9.9.7-P2
・https://ftp.isc.org/isc/bind9/9.9.7-P2/bind-9.9.7-P2.tar.gz
ダウンロードURL:http://www.isc.org/downloads/



 - Linux