ISC BIND 9 に対する脆弱性に関する注意喚起(7/13更新)

ISCより、BIND 9 (DNS)のTSIGに関する脆弱性が公表されました。この脆弱性を悪用された場合、リモートからの攻撃によって不正なDNSダイナミックアップデートやゾーン転送が行われる可能性があります。

今後の被害防止のために、以下のサイトを参照し、対策を検討してください。

1.脆弱性を有するソフトウエア

なお、本脆弱性は TSIG によるアクセス制限を有効にしている場合に影響を受けます。

7/13追記========================================================
named の設定ファイル (named.conf)において “update-policy local;” オプションを使用している場合、
既知の名前 (local-ddns) とデフォルトのアルゴリズムを用いた TSIG 鍵が暗に定義され、かつ、IP アド
レスベースのアクセス制限が設定されていない状態となります。
==============================================================

– CVE-2017-3143
– 9.9系列  9.9.10-P1 およびそれ以前
– 9.10系列 9.10.5-P1 およびそれ以前
– 9.11系列 9.11.1-P1 およびそれ以前
– サポートが終了している 9.4 系列から 9.8 系列も対象になるとされています

– CVE-2017-3142
– 9.9系列  9.9.10-P1 およびそれ以前
– 9.10系列 9.10.5-P1 およびそれ以前
– 9.11系列 9.11.1-P1 およびそれ以前
– サポートが終了している 9.4 系列から 9.8 系列も対象になるとされています

各脆弱性について影響を受けるバージョンが異なりますので、詳細について
は以下の情報を参照して下さい。

BIND 9 Security Vulnerability Matrix
https://kb.isc.org/article/AA-00913/

2.対策
以下の最新バージョンにアップデートしてください。

– BIND 9 version 9.9.10-P2
– BIND 9 version 9.10.5-P2
– BIND 9 version 9.11.1-P2

3.関連サイト
詳細は、以下の情報を参照してください。

株式会社日本レジストリサービス (JPRS)
(緊急)BIND 9.xの脆弱性(TSIG認証の迂回によるゾーンデータの操作)について(CVE-2017-3143) – バージョンアップを強く推奨 –
https://jprs.jp/tech/security/2017-06-30-bind9-vuln-circumvent-tsig-auth-dynamic-update.html

BIND 9.xの脆弱性(TSIG認証の迂回によるゾーンデータの流出)について(CVE-2017-3142) – バージョンアップを強く推奨 –
https://jprs.jp/tech/security/2017-06-30-bind9-vuln-circumvent-tsig-auth-axfr.html

【本件問い合わせ先】
情報推進部 情報企画課 情報企画班 TEL:06-6879-4482(吹 4482,8989)

PAGE TOP
MENU