手順については、以下URLにまとめました。
bind起動後にIPv6系のエラーログが多数吐き出すようになった場合の対処方法
にほんブログ村
Tag: named
BIND 9.xの脆弱性(CVE-2016-8864) のまとめ
▼概要
BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービ
ス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されました。
本脆弱性により、提供者が意図しないサービスの停止が発生する可能性があ
ります。
本脆弱性は、フルリゾルバー(キャッシュDNSサーバー)の機能が有効に設
定されている9.0.0以降のすべてのバージョンのBIND 9が影響を受けること
から、対象が広範囲にわたっています。該当するBIND 9.xを利用しているユー
ザーは関連情報の収集やバージョンアップなど、適切な対応を速やかに取る
ことを強く推奨します。
**▽本脆弱性の概要
BIND 9.xにはDNS応答の処理に不具合があり、DNAMEレコードがanswer
secionに含まれている応答を処理する際、namedが異常終了を起こす障害が
発生します(*1)。
(*1)本脆弱性によりnamedが異常終了した場合、resolver.cまたはdb.cで
assertion failureを引き起こした旨のメッセージがログに出力され
ます。
本脆弱性により、DNSサービスの停止が発生する可能性があります。また、
本脆弱性を利用した攻撃はリモートから可能です。
**▽対象となるバージョン
本脆弱性は、BIND 9.0.0以降のすべてのバージョンのBIND 9が該当します。
・9.11系列:9.11.0
・9.10系列:9.10.0~9.10.4-P3
・9.9系列:9.9.0~9.9.9-P3
・上記以外の系列:9.0.0~9.8.x
ISCでは、本脆弱性のリスクは主にフルリゾルバーにおけるものであり、権
威DNSサーバーではわずか(minimal)であると発表しています。
なお、ISCでは9.8以前の系列のBIND 9のサポートを終了しており、これらの
バージョンに対するセキュリティパッチはリリースしないと発表しています。
**▽影響範囲
ISCは、本脆弱性の深刻度(Severity)を「高(High)」と評価しています。
本脆弱性については、以下の脆弱性情報(*2)も併せてご参照ください。
(*2)CVE – CVE-2016-8864
<https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8864>
**▼一時的な回避策
本脆弱性の一時的な回避策は存在しません。
**▼各OS毎の(CVE-2016-8864)の脆弱性パッチの適応バージョン
RedHat5,CentOS5
bind-chroot-9.3.6-25.P1.el5_11.11.i386.rpm(32bit)
bind-chroot-9.3.6-25.P1.el5_11.11.x86_64.rpm(64bit)
RedHat5,CentOS5 (bind97系)
bind97-9.7.0-21.P2.el5_11.9.i386.rpm(32bit)
bind97-9.7.0-21.P2.el5_11.9.x86_64.rpm(64bit)
Rethat6/CentOS6
bind-9.8.2-0.47.rc1.el6_8.3.i686.rpm(32bit)
bind-9.8.2-0.47.rc1.el6_8.3.x86_64.rpm(64bit)
Ubuntu 12.04 LTS
1:9.8.1.dfsg.P1-4ubuntu0.19
Ubuntu 14.04 LTS
1:9.9.5.dfsg-3ubuntu0.10
Ubuntu 16.04 LTS
1:9.10.3.dfsg.P4-8ubuntu1.2
Ubuntu 16.10
1:9.10.3.dfsg.P4-10.1ubuntu1.1
**引用元
https://jprs.jp/tech/security/2016-11-02-bind9-vuln-dname.html
https://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-8864.html
bind 脆弱性(CVE-2012-1033)情報
また、BINDの脆弱性(CVE-2012-1033)が出たので記載をします。
ISC BIND 9 には、サービス運用妨害 (DoS) の原因となる脆弱性があります。
BIND が RDATA フィールドの長さ 0 のレコードを処理することで、キャッシュ
DNS サーバの場合、サーバがクラッシュしたり、サーバメモリ内の情報がクラ
イアントに開示されたりする可能性があります。BIND がキャッシュ DNS サー
バ、権威 DNS サーバのいずれの動作を行っている場合も本脆弱性の影響を受け
ます。
権威 DNS サーバとして動作している場合、管理者が管理するゾーン情報に、
特殊なレコードを追加する必要があり、攻撃の範囲は限られます。キャッシュ
DNS サーバとして動作している場合、遠隔の第三者が用意した権威 DNS サーバ
のデータを参照させることでサービス運用妨害攻撃を行う可能性があります。
なお、ISC 社の情報によると、本脆弱性に対する攻撃は確認されていません。
ISC 社より、修正済みのバージョンが公開されていますので、「III. 対策」
を参考に修正済みのバージョンの適用について検討してください。
Internet Systems Consortium, Inc. (ISC)
Handling of zero length rdata can cause named to terminate unexpectedly
II. 対象
ISC 社の情報によると、以下のバージョンが本脆弱性の影響を受けます。
ISC BIND 9 のすべてのバージョン
* 詳細は、ISC 社の情報を参照してください。
Internet Systems Consortium, Inc. (ISC)
Handling of zero length rdata can cause named to terminate unexpectedly
ディストリビュータが提供している BIND をお使いの場合は、使用中のディ
ストリビュータなどの情報を参照してください。
III. 対策
ISC 社から脆弱性を修正したバージョンの BIND が公開されています。十分
なテストを実施の上、速やかに修正済みのバージョンを適用することをお勧め
します。
修正済みのバージョンは、以下のとおりです。
ISC BIND
– 9.6-ESV-R7-P1
– 9.7.6-P1
– 9.8.3-P1
– 9.9.1-P1
IV. 参考情報
Internet Systems Consortium, Inc. (ISC)
Handling of zero length rdata can cause named to terminate unexpectedly
株式会社日本レジストリサービス (JPRS)
(緊急)BIND 9.xの脆弱性(サービス停止を含む)について
JVNVU#381699
ISC BIND にサービス運用妨害 (DoS) の脆弱性