DNS サーバ BIND の脆弱性対策について(CVE-2017-3145)

スポンサーリンク

IPA 独立行政法人 情報処理推進機構最終更新日:2018年1月18日

※追記・改訂すべき情報がある場合には、その都度このページを更新する予定です。

概要

DNS サーバの BIND に、遠隔からの攻撃によって異常終了し、サービス不能 (DoS) 状態となる脆弱性が存在します。

脆弱性を悪用した攻撃はまだ確認されていませんが、今後攻撃が発生する可能性があるため至急 DNS サーバ管理者はアップデートを適用して下さい。

影響を受けるバージョン

  • BIND 9.0.0 から 9.8.x までのバージョン
  • BIND 9.9.0 から 9.9.11 までのバージョン
  • BIND 9.10.0 から 9.10.6 までのバージョン
  • BIND 9.11.0 から 9.11.2 までのバージョン
  • BIND 9.9.3-S1 から 9.9.11-S1 までのバージョン
  • BIND 9.10.5-S1 から 9.10.6-S1 までのバージョン
  • BIND 9.12.0a1 から 9.12.0rc1 までのバージョン

※ CVE-2017-3137 の修正を含んでおり、かつ、DNSSEC 検証が有効に設定されているリゾルバーが対象です。
※ 上記バージョン以外でも脆弱性の影響を受ける可能性があります。詳細はベンダに確認してください。
※ なお 9.8 以前のバージョンに対するセキュリティパッチはリリースしないと発表されています。

対策

脆弱性の解消 -アップデートする –

BIND を提供している ISC または各ベンダのアップデートを適用してください。ISC から以下のバージョンへのアップデートが提供されています。オープンソース版は http://www.isc.org/downloads/ よりダウンロードできます。

  • BIND 9.11.2-P1
  • BIND 9.10.6-P1
  • BIND 9.9.11-P1
  • BIND 9.12.0rc3

回避策 – DNSSEC 検証を無効にする –

DNSSEC 検証を一時的に無効にすることで、本脆弱性を回避できます。

参考情報

    • ISC(Internet Systems Consortium)
      CVE-2017-3145: Improper fetch cleanup sequencing in the resolver can cause named to crash
      https://kb.isc.org/article/AA-01542
    • 株式会社日本レジストリサービス(JPRS)
      (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3145)
      https://jprs.jp/tech/security/2018-01-17-bind9-vuln-improperly-sequencing-cleanup.html
    • US-CERT
      ISC Releases Security Advisories for DHCP, BIND
      https://www.us-cert.gov/ncas/current-activity/2018/01/16/ISC-Releases-Security-Advisories-DHCP-BIND
    • JPCERT/CC
      ISC BIND 9 の脆弱性に関する注意喚起
      https://www.jpcert.or.jp/at/2018/at180005.html
  • CVE-2017-3137 について
    (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3137)
    https://jprs.jp/tech/security/2017-04-13-bind9-vuln-cname-dname.html

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター

更新履歴

2018年01月18日 掲載
スポンサーリンク
スポンサーリンク
スポンサーリンク

フォローする

スポンサーリンク
スポンサーリンク