公開日:2017/06/15 最終更新日:2017/06/22

JVNVU#94071181
ISC BIND に複数の脆弱性

概要

ISC BIND には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2017-3140

  • BIND 9.9.10
  • BIND 9.10.5
  • BIND 9.11.0 から 9.11.1 まで
  • BIND 9.9.10-S1
  • BIND 9.10.5-S1

CVE-2017-3141
  • BIND 9.2.6-P2 から 9.2.9 まで
  • BIND 9.3.2-P1 から 9.3.6 まで
  • BIND 9.4.0 から 9.8.8 まで
  • BIND 9.9.0 から 9.9.10 まで
  • BIND 9.10.0 から 9.10.5 まで
  • BIND 9.11.0 から 9.11.1 まで
  • BIND 9.9.3-S1 から 9.9.10-S1 まで
  • BIND 9.10.5-S1

詳細情報

ISC BIND には、次の複数の脆弱性が存在します。

  • Response Policy Zones (RPZ) を使用し NSDNAME あるいは NSIP ポリシールールを設定している場合のエラー処理におけるサービス運用妨害 (DoS) - CVE-2017-3140
    CVSS v3 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L 基本値: 3.7
    CVSS v2 AV:N/AC:M/Au:N/C:N/I:N/A:P 基本値: 4.3
  • Windows 版 BIND インストーラによってサービスに登録されるプログラムパスがクォートされていない - CVE-2017-3141
    CVSS v3 CVSS:3.0/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H 基本値: 7.2
    CVSS v2 AV:N/AC:H/Au:S/C:C/I:C/A:C 基本値: 7.1

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • サービス運用妨害 (DoS) - CVE-2017-3140
  • 権限昇格 - CVE-2017-3141

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。

  • BIND 9 9.10-P1
  • BIND 9 10.5-P1
  • BIND 9 11.1-P1
  • BIND 9.9.10-S2
  • BIND 9.10.5-S2

BIND Supported Preview 版は ISC サポートの対象である特定顧客にのみ提供されているものです。

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
BizMobile株式会社 該当製品無し 2017/06/19
ジェイティ エンジニアリング株式会社 該当製品無し 2017/06/22
横河メータ&インスツルメンツ株式会社 該当製品無し 2017/06/15

参考情報

  1. 株式会社日本レジストリサービス(JPRS)
    BIND 9.xの脆弱性(サービス性能の劣化及びパケットの連続送信)について(CVE-2017-3140)
  2. 株式会社日本レジストリサービス(JPRS)
    (緊急)BIND 9.xの脆弱性(権限の昇格)について(CVE-2017-3141)

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2017-3140
CVE-2017-3141
JVN iPedia

更新履歴

2017/06/15
横河メータ&インスツルメンツ株式会社のベンダステータスが更新されました
2017/06/21
BizMobile株式会社のベンダステータスが更新されました
2017/06/22
ジェイティ エンジニアリング株式会社のベンダステータスが更新されました