公開日:2015/09/03 最終更新日:2016/06/21

JVNVU#91383623
ISC BIND 9 に複数の脆弱性
緊急

概要

ISC BIND 9 には、サービス運用妨害 (DoS) 攻撃の要因となる複数の脆弱性が存在します。

影響を受けるシステム

影響を受けるシステムのバージョンは脆弱性ごとに異なりますが、いずれも DNS リカーシブサーバに影響を与える脆弱性であるため、影響は広範囲に及ぶ可能性があります。

CVE-2015-5722 の脆弱性の影響を受けるシステム

  • BIND 9.0.0 から 9.8.8 まで
  • BIND 9.9.0 から 9.9.7-P2 まで
  • BIND 9.10.0 から 9.10.2-P3 まで
CVE-2015-5986 の脆弱性の影響を受けるシステム
  • BIND 9.9.7 から 9.9.7-P2 まで
  • BIND 9.10.2 から 9.10.2-P3 まで

詳細情報

細工された DNSSEC 鍵の処理に起因するサービス運用妨害 (DoS) の脆弱性 - CVE-2015-5722
ISC のアドバイザリには次のように記載されています。

Parsing a malformed DNSSEC key can cause a validating resolver to exit due to a failed assertion in buffer.c. It is possible for a remote attacker to deliberately trigger this condition, for example by using a query which requires a response from a zone containing a deliberately malformed key.


不正な境界チェックに起因するサービス運用妨害 (DoS) の脆弱性 - CVE-2015-5986
ISC のアドバイザリには次のように記載されています。

An incorrect boundary check in openpgpkey_61.c can cause named to terminate due to a REQUIRE assertion failure. This defect can be deliberately exploited by an attacker who can provide a maliciously constructed response in answer to a query.

想定される影響

遠隔の攻撃者によって、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

ISC からは、本脆弱性の対策として次のバージョンがリリースされています。

  • BIND 9.9.7-P3
  • BIND 9.10.2-P4
また、Development Version のアップデートとして次のバージョンがリリースされています。
  • BIND 9.9.8rc1
  • BIND 9.10.3rc1

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
アライドテレシス株式会社 該当製品無し 2015/09/04
ジェイティ エンジニアリング株式会社 該当製品無し 2015/09/05
日本電気株式会社 該当製品あり 2016/06/20

参考情報

  1. 日本レジストリサービス (JPRS)
    (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(2015年9月3日公開)
  2. 日本レジストリサービス (JPRS)
    (緊急)BIND 9.10.2/9.9.7の脆弱性(DNSサービスの停止)について(2015年9月3日公開)

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v2 AV:N/AC:L/Au:N/C:N/I:N/A:C
基本値: 7.8
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

分析結果のコメント

この CVSS は CVE-2015-5722 を評価したものです。

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2015-0031
ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2015-5986) に関する注意喚起
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2015-5722
CVE-2015-5986
JVN iPedia

更新履歴

2015/09/04
アライドテレシス株式会社のベンダステータスが更新されました
2015/09/07
ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
2016/06/21
日本電気株式会社のベンダステータスが更新されました