現在位置: ホーム / セキュリティ ブログ / bind に複数の脆弱性 ( CVE-2016-9131 , CVE-2016-9147 , CVE-2016-9444 , CVE-2016-9778 )

bind に複数の脆弱性 ( CVE-2016-9131 , CVE-2016-9147 , CVE-2016-9444 , CVE-2016-9778 )

01/12/2017に、BINDに関して複数の脆弱性情報 ( CVE-2016-9131 , CVE-2016-9147 , CVE-2016-9444 , CVE-2016-9778 )が出ています。今回は、これらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。 情報は逐次更新します。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

01/12/2017に、BINDに関して複数の脆弱性情報 ( CVE-2016-9131 , CVE-2016-9147 , CVE-2016-9444 , CVE-2016-9778 )が出ています。今回は、これらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

 


一次情報源

BIND 9 Security Vulnerability Matrix

CVE番号影響するバージョンプライオリティ攻撃
CVE-2016-9131 9.9.9-P4, 9.9.9-S6, 9.10.4-P4, 9.11.0-P1 High リモート
CVE-2016-9147 9.4.0 -> 9.6-ESV-R11-W1, 9.8.5 -> 9.8.8, 9.9.3 -> 9.9.9-P4, 9.9.9-S1 -> 9.9.9-S6, 9.10.0 -> 9.10.4-P4, 9.11.0 -> 9.11.0-P1 High リモート
CVE-2016-9444 9.6-ESV-R9 ->9.6-ESV-R11-W1, 9.8.5 -> 9.8.8, 9.9.3 -> 9.9.9-P4, 9.9.9-S1 -> 9.9.9-S6, 9.10.0 -> 9.10.4-P4, 9.11.0 -> 9.11.0-P1 High リモート
CVE-2016-9778 9.9.8-S1 -> 9.9.8-S3, 9.9.9-S1 -> 9.9.9-S6, 9.11.0-9.11.0 -> P1 High(設定に依存) リモート

Priority

High

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • CVE-2016-9131
    • 任意のクエリに対しての不正な形式のレスポンスによるrecursiveのassertion failureの可能性

    • 重要度 - High

    • RTYPEのクエリにおける不正な形式のクエリレスポンスをrecursiveサーバが受け取ることにより、namedがRRsをキャッシュ中のクエリレスポンスに付け加えている際にassertion failureが発生する可能性が有ります。

  • CVE-2016-9147
    • 矛盾したDNSSEC情報を含むクエリレスポンスのエラーハンドリングによるassertion failureの可能性

    • 重要度 - High

    • クエリのタイプと受け取ったクエリ中のEDNSオプションに依存して、DNSSECが有効になった権威サーバがRRSIGと他のRRsetをrecursiveサーバのレスポンス中に含まれることを期待しますが、DNSSECに関連したRRsetが他のRRsetと矛盾する情報を含んでいる時にassertion failureが発生する可能性が有ります。

  • CVE-2016-9444
    • 異常な形式のDSレコードレスポンスによるassertion failureの可能性

    • 重要度 - High

    • DSリソースレコードに含まれた異常な形式の回答がassertion failureを引き起こす可能性が有ります。

  • CVE-2016-9778
    • nxdomain-redirect機能を用いた幾つかのクエリのエラーハンドリングによるdb.c中のassertion failure

    • 重要度 - High

    • サーバがnxdomain-redirect機能を使っている時に、幾つかのクエリのエラーハンドリングがassertion failureを引き起こす可能性が有ります。


主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat Satelliteを使うと管理が便利でしょう。

Red Hat Satelliteを用いた一般的なErattaの適用は、『Red Hat Satellite 6でerrataを適用してみる』を 参考にして下さい。

また、アプリケーションの再起動が発生しますので、pacemakerなどOSSのクラスタ製品LifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。


セミナー情報

event_2017_02_08


OSSに関するお困りごとは サイオス OSSよろず相談室まで

サイオスOSSよろず相談室 では、OSSを利用する中で発生する問題に対し、長年培ってきた技術力・サポート力をもって企業のOSS活用を強力に支援します。Red Hat Enterprise Linux のほか、CentOS をご利用されている環境でのサポートも提供いたします。

OSSよろず相談室

サイオスOSSよろず相談室(2)

問い合わせボタン