公開日:2017/01/12 最終更新日:2017/01/13

JVNVU#94085539
ISC BIND に複数のサービス運用妨害 (DoS) の脆弱性
緊急

概要

ISC BIND には、複数のサービス運用妨害 (DoS) の脆弱性が存在します。

影響を受けるシステム

CVE-2016-9131

  • BIND 9.4.0 から 9.6-ESV-R11-W1 まで
  • BIND 9.8.5 から 9.8.8 まで
  • BIND 9.9.3 から 9.9.9-P4 まで
  • BIND 9.9.9-S1 から 9.9.9-S6 まで
  • BIND 9.10.0 から 9.10.4-P4 まで
  • BIND 9.11.0 から 9.11.0-P1 まで
CVE-2016-9147
  • BIND 9.9.9-P4
  • BIND 9.9.9-S6
  • BIND 9.10.4-P4
  • BIND 9.11.0-P1
CVE-2016-9444
  • BIND 9.6-ESV-R9 から 9.6-ESV-R11-W1 まで
  • BIND 9.8.5 から 9.8.8 まで
  • BIND 9.9.3 から 9.9.9-P4 まで
  • BIND 9.9.9-S1 から 9.9.9-S6 まで
  • BIND 9.10.0 から 9.10.4-P4 まで
  • BIND 9.11.0 から 9.11.0-P1 まで
CVE-2016-9778
  • BIND 9.9.8-S1 から 9.9.8-S3 まで
  • BIND 9.9.9-S1 から 9.9.9-S6 まで
  • BIND 9.11.0 から 9.11.0-P1 まで

詳細情報

ISC BIND には、次の複数のサービス運用妨害 (DoS) の脆弱性が存在します。

  • 再帰的問い合わせ処理において ANY クエリに対する細工されたレスポンスで assertion failure - CVE-2016-9131
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 7.5
  • 不正な DNSSEC 情報を含むレスポンスのエラー処理で assertion failure - CVE-2016-9147
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 7.5
  • DS レコードを含む特殊な形式のレスポンスで assertion failure - CVE-2016-9444
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 7.5
  • redirect namespace 機能を使用しているサーバにおいて特定のクエリの処理で発生するエラーにより db.c で REQUIRE assertion failure - CVE-2016-9778
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 7.5

想定される影響

遠隔の攻撃者によって、サービス運用妨害 (DoS) 攻撃 (named の停止) が行われる可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、これらの脆弱性を修正した次のバージョンをリリースしています。

  • BIND 9.9.9-P5
  • BIND 9.10.4-P5
  • BIND 9.11.0-P2
  • BIND 9.9.9-S7
BIND 9 Supported Preview 版は ISC サポートの対象である特定顧客にのみ提供されているものです。

参考情報

  1. 株式会社日本レジストリサービス(JPRS)
    (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-9131)
  2. 株式会社日本レジストリサービス(JPRS)
    (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-9147)
  3. 株式会社日本レジストリサービス(JPRS)
    (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-9444)
  4. 株式会社日本レジストリサービス(JPRS)
    BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-9778)
  5. 一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
    BIND 9における複数の脆弱性について(2017年1月)

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2017-0004
ISC BIND 9 に対する複数の脆弱性に関する注意喚起
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2016-9131
CVE-2016-9147
CVE-2016-9444
CVE-2016-9778
JVN iPedia

更新履歴

2017/01/13
ジェイティ エンジニアリング株式会社のベンダステータスが更新されました