公開日:2018/05/21 最終更新日:2018/08/20

JVNVU#91301831
BIND に複数のサービス運用妨害 (DoS) の脆弱性

概要

BIND には、サービス運用妨害 (DoS) の脆弱性が複数存在します。

影響を受けるシステム

  • BIND 9.12.0
  • BIND 9.12.1

詳細情報

BIND には、次のサービス運用妨害 (DoS) の脆弱性が存在します。

  • 少なくとも一つ以上の zone 情報を提供する、 NOTIFY メッセージの送信元を制限していない Slave サーバにおける、データベースのカウント処理に関する assertion failure - CVE-2018-5736
    CVSS v3 CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H 基本値: 5.3
  • serve-stale 機能の実装における assertion failure および serve-stale 機能と NSEC aggressive negative caching との相互作用における意図しない動作 - CVE-2018-5737
    CVSS v3 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 5.9

想定される影響

遠隔の攻撃者によって、サービス運用妨害 (DoS) 攻撃が行われる可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。

  • BIND 9.12.1-P2
ワークアラウンドを実施する
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。
  • 信頼できるソースからのみ NOTIFY メッセージを受信する - CVE-2018-5736
  • named.conf にて "max-stale-ttl" を 0 (ゼロ) に設定する (serve-stale 機能も無効となります) - CVE-2018-5737

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
BizMobile株式会社 該当製品無し 2018/08/17
ジェイティ エンジニアリング株式会社 該当製品無し 2018/06/14
横河計測株式会社 該当製品無し 2018/05/21
ベンダ リンク
Internet Systems Consortium CVE-2018-5736: Multiple transfers of a zone in quick succession can cause an assertion failure in rbtdb.c
CVE-2018-5737: BIND 9.12's serve-stale implementation can cause an assertion failure in rbtdb.c or other undesirable behavior, even if serve-stale is not enabled.

参考情報

  1. 株式会社日本レジストリサービス(JPRS)
    BIND 9.12.xの脆弱性(DNSサービスの停止)について(CVE-2018-5736)
  2. 株式会社日本レジストリサービス(JPRS)
    BIND 9.12.xの脆弱性(サービス性能の劣化及びDNSサービスの停止)について(CVE-2018-5737)

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2018-5736
CVE-2018-5737
JVN iPedia

更新履歴

2018/05/21
横河計測株式会社のベンダステータスが更新されました
2018/06/14
ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
2018/08/20
BizMobile株式会社のベンダステータスが更新されました