公開日:2017/04/13 最終更新日:2017/10/02

JVNVU#97322649
ISC BIND に複数のサービス運用妨害 (DoS) の脆弱性

概要

ISC BIND には、複数のサービス運用妨害 (DoS) の脆弱性が存在します。

影響を受けるシステム

CVE-2017-3136

  • BIND 9.8.0 から 9.8.8-P1 まで
  • BIND 9.9.0 から 9.9.9-P6 まで
  • BIND 9.9.10b1 から 9.9.10rc1 まで
  • BIND 9.10.0 から 9.10.4-P6 まで
  • BIND 9.10.5b1 から 9.10.5rc1 まで
  • BIND 9.11.0 から 9.11.0-P3 まで
  • BIND 9.11.1b1 から 9.11.1rc1 まで
  • BIND 9.9.3-S1 から 9.9.9-S8 まで
CVE-2017-3137
  • BIND 9.9.9-P6
  • BIND 9.9.10b1 から 9.9.10rc1 まで
  • BIND 9.10.4-P6
  • BIND 9.10.5b1 から 9.10.5rc1まで
  • BIND 9.11.0-P3
  • BIND 9.11.1b1 から 9.11.1rc1まで
  • BIND 9.9.9-S8
CVE-2017-3138
  • BIND 9.9.9 から 9.9.9-P7 まで
  • BIND 9.9.10b1 から 9.9.10rc2 まで
  • BIND 9.10.4 から 9.10.4-P7 まで
  • BIND 9.10.5b1 から 9.10.5rc2 まで
  • BIND 9.11.0 から 9.11.0-P4 まで
  • BIND 9.11.1b1 から 9.11.1rc2 まで
  • BIND 9.9.9-S1 から 9.9.9-S9 まで

詳細情報

ISC BIND には、次の複数のサービス運用妨害 (DoS) の脆弱性が存在します。

  • DNS64 を有効にし "break-dnssec yes;" を設定しているサーバにおいてクエリの処理における assertion failure - CVE-2017-3136
    CVSS v3 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 5.9
  • CNAME または DNAME を含むレスポンスの answer セクションの処理における assertion failure - CVE-2017-3137
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 7.5
  • control channel の入力処理における REQUIRE assertion failure - CVE-2017-3138
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H 基本値: 6.5

想定される影響

遠隔の攻撃者によって、サービス運用妨害 (DoS) 攻撃が行われる可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。

  • BIND 9.9.9-P8
  • BIND 9.10.4-P8
  • BIND 9.11.0-P5
  • BIND 9.9.9-S10
また、今後リリースが予定されている次の RC 版においても本脆弱性を修正しているとのことです。
  • BIND 9.9.10rc3
  • BIND 9.10.5rc3
  • BIND 9.11.1rc3
BIND 9 Supported Preview 版は ISC サポートの対象である特定顧客にのみ提供されているものです。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
BizMobile株式会社 該当製品無し 2017/07/24
アライドテレシス株式会社 該当製品無し 2017/04/18
ジェイティ エンジニアリング株式会社 該当製品無し 2017/05/02
日本電気株式会社 該当製品あり 2017/09/29
横河メータ&インスツルメンツ株式会社 該当製品無し 2017/04/14
ベンダ リンク
Internet Systems Consortium CVE-2017-3136: An error handling synthesized records could cause an assertion failure when using DNS64 with "break-dnssec yes;"
CVE-2017-3137: A response packet can cause a resolver to terminate when processing an answer containing a CNAME or DNAME
CVE-2017-3138: named exits with a REQUIRE assertion failure if it receives a null command string on its control channel

参考情報

  1. 株式会社日本レジストリサービス(JPRS)
    BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3136)
  2. 株式会社日本レジストリサービス(JPRS)
    (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3137)
  3. 株式会社日本レジストリサービス(JPRS)
    BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3138)

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2017-0016
ISC BIND 9 に対する複数の脆弱性に関する注意喚起
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2017-3136
CVE-2017-3137
CVE-2017-3138
JVN iPedia

更新履歴

2017/04/14
横河メータ&インスツルメンツ株式会社のベンダステータスが更新されました
2017/04/18
アライドテレシス株式会社のベンダステータスが更新されました
2017/05/02
ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
2017/07/25
BizMobile株式会社のベンダステータスが更新されました
2017/10/02
日本電気株式会社のベンダステータスが更新されました