▼概要
BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービ
ス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されました。
本脆弱性により、提供者が意図しないサービスの停止が発生する可能性があ
ります。
本脆弱性は、フルリゾルバー(キャッシュDNSサーバー)の機能が有効に設
定されている9.0.0以降のすべてのバージョンのBIND 9が影響を受けること
から、対象が広範囲にわたっています。該当するBIND 9.xを利用しているユー
ザーは関連情報の収集やバージョンアップなど、適切な対応を速やかに取る
ことを強く推奨します。
**▽本脆弱性の概要
BIND 9.xにはDNS応答の処理に不具合があり、DNAMEレコードがanswer
secionに含まれている応答を処理する際、namedが異常終了を起こす障害が
発生します(*1)。
(*1)本脆弱性によりnamedが異常終了した場合、resolver.cまたはdb.cで
assertion failureを引き起こした旨のメッセージがログに出力され
ます。
本脆弱性により、DNSサービスの停止が発生する可能性があります。また、
本脆弱性を利用した攻撃はリモートから可能です。
**▽対象となるバージョン
本脆弱性は、BIND 9.0.0以降のすべてのバージョンのBIND 9が該当します。
・9.11系列:9.11.0
・9.10系列:9.10.0~9.10.4-P3
・9.9系列:9.9.0~9.9.9-P3
・上記以外の系列:9.0.0~9.8.x
ISCでは、本脆弱性のリスクは主にフルリゾルバーにおけるものであり、権
威DNSサーバーではわずか(minimal)であると発表しています。
なお、ISCでは9.8以前の系列のBIND 9のサポートを終了しており、これらの
バージョンに対するセキュリティパッチはリリースしないと発表しています。
**▽影響範囲
ISCは、本脆弱性の深刻度(Severity)を「高(High)」と評価しています。
本脆弱性については、以下の脆弱性情報(*2)も併せてご参照ください。
(*2)CVE – CVE-2016-8864
<https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8864>
**▼一時的な回避策
本脆弱性の一時的な回避策は存在しません。
**▼各OS毎の(CVE-2016-8864)の脆弱性パッチの適応バージョン
RedHat5,CentOS5
bind-chroot-9.3.6-25.P1.el5_11.11.i386.rpm(32bit)
bind-chroot-9.3.6-25.P1.el5_11.11.x86_64.rpm(64bit)
RedHat5,CentOS5 (bind97系)
bind97-9.7.0-21.P2.el5_11.9.i386.rpm(32bit)
bind97-9.7.0-21.P2.el5_11.9.x86_64.rpm(64bit)
Rethat6/CentOS6
bind-9.8.2-0.47.rc1.el6_8.3.i686.rpm(32bit)
bind-9.8.2-0.47.rc1.el6_8.3.x86_64.rpm(64bit)
Ubuntu 12.04 LTS
1:9.8.1.dfsg.P1-4ubuntu0.19
Ubuntu 14.04 LTS
1:9.9.5.dfsg-3ubuntu0.10
Ubuntu 16.04 LTS
1:9.10.3.dfsg.P4-8ubuntu1.2
Ubuntu 16.10
1:9.10.3.dfsg.P4-10.1ubuntu1.1
**引用元
https://jprs.jp/tech/security/2016-11-02-bind9-vuln-dname.html
https://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-8864.html
概要
glibc ライブラリにはバッファオーバーフローの脆弱性 (CVE-2015-7547) があります。
本脆弱性を使用された場合、遠隔の第三者によって、任意のコードを実行されたり、サービス運用妨害 (DoS) 攻撃が行われたりするなどの可能性があります。
対象
– glibc 2.9 およびそれ以降のバージョン
OS | glibcのバージョン | 影響 | 修正済みバージョン |
---|---|---|---|
RHEL(CentOS)5系 | glibc-2.5 | なし | – |
RHEL(CentOS)6系 | glibc-2.12 | あり | glibc-2.12-1.166.el6_7.7 |
RHEL(CentOS)7系 | glibc-2.17 | あり | glibc-2.17-106.el7_2.4 |
glibcのバージョン確認方法(アップデート前の確認)
rpm -qa | grep “glibc”
CentOS6の場合の実行結果
[root@testsever ~]# rpm -qa | grep “glibc”
glibc-2.12-1.149.el6_6.9.i686
glibc-common-2.12-1.149.el6_6.9.i686
glibc-devel-2.12-1.149.el6_6.9.i686
glibc-headers-2.12-1.149.el6_6.9.i686
glibcのアップデート方法
※実行前に、必ず影響等を考慮した上で実行してください。
自己責任でお願いします。
yum update glibc
[root@testsever ~]# yum update glibc
読み込んだプラグイン:downloadonly, fastestmirror, priorities
更新処理の設定をしています
Determining fastest mirrors
epel/metalink | 3.4 kB 00:00
* base: ftp.iij.ad.jp
* epel: ftp.jaist.ac.jp
* extras: ftp.iij.ad.jp
* rpmforge: ftp.riken.jp
* updates: ftp.iij.ad.jp
base | 3.7 kB 00:00
epel | 4.3 kB 00:00
epel/primary_db | 5.0 MB 00:21
extras | 3.4 kB 00:00
rpmforge | 1.9 kB 00:00
updates | 3.4 kB 00:00
updates/primary_db | 3.7 MB 00:10
varnish-3.0 | 951 B 00:00
依存性の解決をしています
終了していない残作業があります。それらを終了するために、まず yum-complete-transaction の実行を検討すべきかもしれません。
プログラム yum-complete-transaction は yum-utils パッケージ内で見つかりました。
–> トランザクションの確認を実行しています。
—> Package glibc.i686 0:2.12-1.149.el6_6.9 will be 更新
–> 依存性の処理をしています: glibc = 2.12-1.149.el6_6.9 のパッケージ: glibc-devel-2.12-1.149.el6_6.9.i686
–> 依存性の処理をしています: glibc = 2.12-1.149.el6_6.9 のパッケージ: glibc-common-2.12-1.149.el6_6.9.i686
–> 依存性の処理をしています: glibc = 2.12-1.149.el6_6.9 のパッケージ: glibc-headers-2.12-1.149.el6_6.9.i686
—> Package glibc.i686 0:2.12-1.166.el6_7.7 will be an update
–> トランザクションの確認を実行しています。
—> Package glibc-common.i686 0:2.12-1.149.el6_6.9 will be 更新
—> Package glibc-common.i686 0:2.12-1.166.el6_7.7 will be an update
—> Package glibc-devel.i686 0:2.12-1.149.el6_6.9 will be 更新
—> Package glibc-devel.i686 0:2.12-1.166.el6_7.7 will be an update
—> Package glibc-headers.i686 0:2.12-1.149.el6_6.9 will be 更新
—> Package glibc-headers.i686 0:2.12-1.166.el6_7.7 will be an update
–> 依存性解決を終了しました。
依存性を解決しました
==================================================================================
パッケージ アーキテクチャ バージョン リポジトリー 容量
==================================================================================
更新:
glibc i686 2.12-1.166.el6_7.7 updates 4.3 M
依存性関連での更新をします。:
glibc-common i686 2.12-1.166.el6_7.7 updates 14 M
glibc-devel i686 2.12-1.166.el6_7.7 updates 987 k
glibc-headers i686 2.12-1.166.el6_7.7 updates 623 k
トランザクションの要約
==================================================================================
アップグレード 4 パッケージ
総ダウンロード容量: 20 M
これでいいですか? [y/N]y
glibcのバージョン確認方法(アップデート後の確認)
rpm -qa | grep “glibc”
反映方法
OS全体の再起動を強く推奨します。
参考サイト一覧