DNS サーバ BIND の脆弱性対策について(CVE-2017-3145)

DNS サーバの BIND に、遠隔からの攻撃によって異常終了し、サービス不能 (DoS) 状態となる脆弱性が存在します。

脆弱性を悪用した攻撃はまだ確認されていませんが、今後攻撃が発生する可能性があるため至急 DNS サーバ管理者はアップデートを適用して下さい。

• BIND 9.0.0 から 9.8.x までのバージョン
• BIND 9.9.0 から 9.9.11 までのバージョン
• BIND 9.10.0 から 9.10.6 までのバージョン
• BIND 9.11.0 から 9.11.2 までのバージョン
• BIND 9.9.3-S1 から 9.9.11-S1 までのバージョン
• BIND 9.10.5-S1 から 9.10.6-S1 までのバージョン
• BIND 9.12.0a1 から 9.12.0rc1 までのバージョン

※ CVE-2017-3137 の修正を含んでおり、かつ、DNSSEC 検証が有効に設定されているリゾルバーが対象です。
※ 上記バージョン以外でも脆弱性の影響を受ける可能性があります。詳細はベンダに確認してください。
※ なお 9.8 以前のバージョンに対するセキュリティパッチはリリースしないと発表されています。

脆弱性の解消 -アップデートする –

BIND を提供している ISC または各ベンダのアップデートを適用してください。ISC から以下のバージョンへのアップデートが提供されています。オープンソース版は http://www.isc.org/downloads/ よりダウンロードできます。

• BIND 9.11.2-P1
• BIND 9.10.6-P1
• BIND 9.9.11-P1
• BIND 9.12.0rc3

回避策 – DNSSEC 検証を無効にする –

DNSSEC 検証を一時的に無効にすることで、本脆弱性を回避できます。

• • ISC(Internet Systems Consortium)
    CVE-2017-3145: Improper fetch cleanup sequencing in the resolver can cause named to crash
    
    

    Attention Required! | Cloudflare

    

    kb.isc.org
  • 株式会社日本レジストリサービス（JPRS）
    （緊急）BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2017-3145）
    
    

    （緊急）BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2017-3145）

    

    jprs.jp
  • US-CERT
    ISC Releases Security Advisories for DHCP, BIND
    
    

    ISC Releases Security Advisories for DHCP, BIND | CISA

    

    www.cisa.gov
  • JPCERT/CC
    ISC BIND 9 の脆弱性に関する注意喚起
    
    

    ISC BIND 9 の脆弱性に関する注意喚起

    

    www.jpcert.or.jp

• CVE-2017-3137 について
  （緊急）BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2017-3137）
  
  

  （緊急）BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2017-3137）

  

  jprs.jp

IPA 技術本部 セキュリティセンター