※追記・改訂すべき情報がある場合には、その都度このページを更新する予定です。
概要
DNS サーバの BIND に、遠隔からの攻撃によって異常終了し、サービス不能 (DoS) 状態となる脆弱性が存在します。
脆弱性を悪用した攻撃はまだ確認されていませんが、今後攻撃が発生する可能性があるため至急 DNS サーバ管理者はアップデートを適用して下さい。
影響を受けるバージョン
- BIND 9.0.0 から 9.8.x までのバージョン
- BIND 9.9.0 から 9.9.11 までのバージョン
- BIND 9.10.0 から 9.10.6 までのバージョン
- BIND 9.11.0 から 9.11.2 までのバージョン
- BIND 9.9.3-S1 から 9.9.11-S1 までのバージョン
- BIND 9.10.5-S1 から 9.10.6-S1 までのバージョン
- BIND 9.12.0a1 から 9.12.0rc1 までのバージョン
※ 上記バージョン以外でも脆弱性の影響を受ける可能性があります。詳細はベンダに確認してください。
※ なお 9.8 以前のバージョンに対するセキュリティパッチはリリースしないと発表されています。
対策
脆弱性の解消 -アップデートする -
BIND を提供している ISC または各ベンダのアップデートを適用してください。ISC から以下のバージョンへのアップデートが提供されています。オープンソース版は http://www.isc.org/downloads/ よりダウンロードできます。
- BIND 9.11.2-P1
- BIND 9.10.6-P1
- BIND 9.9.11-P1
- BIND 9.12.0rc3
回避策 - DNSSEC 検証を無効にする -
DNSSEC 検証を一時的に無効にすることで、本脆弱性を回避できます。参考情報
- ISC(Internet Systems Consortium)
CVE-2017-3145: Improper fetch cleanup sequencing in the resolver can cause named to crash
https://kb.isc.org/article/AA-01542 - 株式会社日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3145)
https://jprs.jp/tech/security/2018-01-17-bind9-vuln-improperly-sequencing-cleanup.html - US-CERT
ISC Releases Security Advisories for DHCP, BIND
https://www.us-cert.gov/ncas/current-activity/2018/01/16/ISC-Releases-Security-Advisories-DHCP-BIND - JPCERT/CC
ISC BIND 9 の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180005.html - CVE-2017-3137 について
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3137)
https://jprs.jp/tech/security/2017-04-13-bind9-vuln-cname-dname.html
本件に関するお問い合わせ先
IPA 技術本部 セキュリティセンター
E-mail:
更新履歴
| 2018年01月18日 | 掲載 |
|---|