公開日:2014/12/09 最終更新日:2015/01/09

JVNVU#94007830
ISC BIND 9 に複数の脆弱性

概要

ISC BIND 9 には、サービス運用妨害 (DoS) の原因となる複数の脆弱性が存在します。

影響を受けるシステム

影響を受けるシステムのバージョンは脆弱性によって異なります。

CVE-2014-8500
  • BIND 9.0.x から 9.8.x
  • BIND 9.9.0 から 9.9.6
  • BIND 9.10.0 から 9.10.1
CVE-2014-8680
  • BIND 9.10.0 から 9.10.1

詳細情報

委譲 (delegation) の処理における欠陥の悪用により ISC BIND が異常終了させられる - CVE-2014-8500
ゾーン設定を細工した DNS サーバに対して問い合わせを行わせることで、DNSサーバのシステム資源を過度に消費させることが可能です。

GeoIP 機能が有効な ISC BIND が異常終了させられる - CVE-2014-8680
ISC BIND 9.10 以降に導入された GeoIP 機能を有効にしている場合、ISC BIND を異常終了させられる可能性があります。GeoIP 機能はコンパイル時の設定で有効にすることが可能ですが、初期状態では無効となっています。

想定される影響

遠隔の第三者によって、DNS サーバのシステム資源を過度に消費させられたり、サービスを停止させられたりする可能性があります。

対策方法

アップデートする
ISC が提供する情報 (CVE-2014-8500, CVE-2014-8680) をもとに最新版へアップデートしてください。

各脆弱性が修正されたバージョンは下記の通りです。

CVE-2014-8500

  • BIND 9.10.1-P1
  • BIND 9.9.6-P1
CVE-2014-8680
  • BIND 9.10.1-P1

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
ジェイティ エンジニアリング株式会社 該当製品無し 2015/01/09
株式会社バッファロー 該当製品無し 2015/01/05

参考情報

  1. JPRS
    (緊急)複数のDNSソフトウェアにおける脆弱性(システム資源の過度な消費) について(2014年12月9日公開)
  2. JPRS
    BIND 9.10.xの脆弱性(DNSサービスの停止)について(2014年12月9日公開)

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2014.12.09における脆弱性分析結果(CVSS Base Metrics)

CVSSとは

評価尺度 評価値 説明
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N) ネットワーク経由でリモートから攻撃可能
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L) 攻撃成立に必要な条件はない
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N) 認証は不要
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C) 情報は漏えいしない
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C) 情報の正確さや完全さは損なわれない
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C) システムの使用が全面的に阻害される

Base Score:7.8

分析結果のコメント

この CVSS の評価は CVE-2014-8500 に基づいて行ったものです。

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2014-0050
ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2014-8500) に関する注意喚起
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2014-8500
CVE-2014-8680
JVN iPedia

更新履歴

2015/01/05
株式会社バッファローのベンダステータスが更新されました
2015/01/09
ジェイティ エンジニアリング株式会社のベンダステータスが更新されました