タグ : bind

BIND 9.xの脆弱性(CVE-2016-8864) のまとめ

▼概要

BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービ
ス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されました。
本脆弱性により、提供者が意図しないサービスの停止が発生する可能性があ
ります。
本脆弱性は、フルリゾルバー(キャッシュDNSサーバー)の機能が有効に設
定されている9.0.0以降のすべてのバージョンのBIND 9が影響を受けること
から、対象が広範囲にわたっています。該当するBIND 9.xを利用しているユー
ザーは関連情報の収集やバージョンアップなど、適切な対応を速やかに取る
ことを強く推奨します。

**▽本脆弱性の概要

BIND 9.xにはDNS応答の処理に不具合があり、DNAMEレコードがanswer
secionに含まれている応答を処理する際、namedが異常終了を起こす障害が
発生します(*1)。
(*1)本脆弱性によりnamedが異常終了した場合、resolver.cまたはdb.cで
assertion failureを引き起こした旨のメッセージがログに出力され
ます。

本脆弱性により、DNSサービスの停止が発生する可能性があります。また、
本脆弱性を利用した攻撃はリモートから可能です。

**▽対象となるバージョン

本脆弱性は、BIND 9.0.0以降のすべてのバージョンのBIND 9が該当します。
・9.11系列:9.11.0
・9.10系列:9.10.0~9.10.4-P3
・9.9系列:9.9.0~9.9.9-P3
・上記以外の系列:9.0.0~9.8.x

ISCでは、本脆弱性のリスクは主にフルリゾルバーにおけるものであり、権
威DNSサーバーではわずか(minimal)であると発表しています。
なお、ISCでは9.8以前の系列のBIND 9のサポートを終了しており、これらの
バージョンに対するセキュリティパッチはリリースしないと発表しています。

**▽影響範囲

ISCは、本脆弱性の深刻度(Severity)を「高(High)」と評価しています。
本脆弱性については、以下の脆弱性情報(*2)も併せてご参照ください。
(*2)CVE – CVE-2016-8864
<https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8864>

**▼一時的な回避策
本脆弱性の一時的な回避策は存在しません。

**▼各OS毎の(CVE-2016-8864)の脆弱性パッチの適応バージョン
RedHat5,CentOS5
bind-chroot-9.3.6-25.P1.el5_11.11.i386.rpm(32bit)
bind-chroot-9.3.6-25.P1.el5_11.11.x86_64.rpm(64bit)

RedHat5,CentOS5 (bind97系)
bind97-9.7.0-21.P2.el5_11.9.i386.rpm(32bit)
bind97-9.7.0-21.P2.el5_11.9.x86_64.rpm(64bit)

Rethat6/CentOS6
bind-9.8.2-0.47.rc1.el6_8.3.i686.rpm(32bit)
bind-9.8.2-0.47.rc1.el6_8.3.x86_64.rpm(64bit)

Ubuntu 12.04 LTS
1:9.8.1.dfsg.P1-4ubuntu0.19

Ubuntu 14.04 LTS
1:9.9.5.dfsg-3ubuntu0.10

Ubuntu 16.04 LTS
1:9.10.3.dfsg.P4-8ubuntu1.2

Ubuntu 16.10
1:9.10.3.dfsg.P4-10.1ubuntu1.1

**引用元

https://jprs.jp/tech/security/2016-11-02-bind9-vuln-dname.html

https://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-8864.html

にほんブログ村 IT技術ブログへ
にほんブログ村

bind 脆弱性(CVE-2012-1033)情報

また、BINDの脆弱性(CVE-2012-1033)が出たので記載をします。


I. 概要

ISC BIND 9 には、サービス運用妨害 (DoS) の原因となる脆弱性があります。
BIND が RDATA フィールドの長さ 0 のレコードを処理することで、キャッシュ
DNS サーバの場合、サーバがクラッシュしたり、サーバメモリ内の情報がクラ
イアントに開示されたりする可能性があります。BIND がキャッシュ DNS サー
バ、権威 DNS サーバのいずれの動作を行っている場合も本脆弱性の影響を受け
ます。

権威 DNS サーバとして動作している場合、管理者が管理するゾーン情報に、
特殊なレコードを追加する必要があり、攻撃の範囲は限られます。キャッシュ
DNS サーバとして動作している場合、遠隔の第三者が用意した権威 DNS サーバ
のデータを参照させることでサービス運用妨害攻撃を行う可能性があります。
なお、ISC 社の情報によると、本脆弱性に対する攻撃は確認されていません。

ISC 社より、修正済みのバージョンが公開されていますので、「III. 対策」
を参考に修正済みのバージョンの適用について検討してください。

Internet Systems Consortium, Inc. (ISC)
Handling of zero length rdata can cause named to terminate unexpectedly

II. 対象

ISC 社の情報によると、以下のバージョンが本脆弱性の影響を受けます。

ISC BIND 9 のすべてのバージョン
* 詳細は、ISC 社の情報を参照してください。

Internet Systems Consortium, Inc. (ISC)

Handling of zero length rdata can cause named to terminate unexpectedly

ディストリビュータが提供している BIND をお使いの場合は、使用中のディ
ストリビュータなどの情報を参照してください。

III. 対策

ISC 社から脆弱性を修正したバージョンの BIND が公開されています。十分
なテストを実施の上、速やかに修正済みのバージョンを適用することをお勧め
します。

修正済みのバージョンは、以下のとおりです。

ISC BIND
– 9.6-ESV-R7-P1
– 9.7.6-P1
– 9.8.3-P1
– 9.9.1-P1

IV. 参考情報

Internet Systems Consortium, Inc. (ISC)

Handling of zero length rdata can cause named to terminate unexpectedly

長さ0のrdataによってnamedが異常停止する

BIND software version status

株式会社日本レジストリサービス (JPRS)
(緊急)BIND 9.xの脆弱性(サービス停止を含む)について

JVNVU#381699
ISC BIND にサービス運用妨害 (DoS) の脆弱性


にほんブログ村 PC家電ブログ デジモノへ

centos5.8がリリースされました。

centos5.8がリリースされました。どうやら、3月7日(米国時間)頃に出たようです。
変更点や、詳細については以下を参照ください。
CentOSのリリースノート

早速yum upgrade をしてアップデートして試してみたいと思います。


にほんブログ村 PC家電ブログ デジモノへ

centos5.8がリリースされました。

centos5.8がリリースされました。どうやら、3月7日(米国時間)頃に出たようです。
変更点や、詳細については以下を参照ください。
CentOSのリリースノート

早速yum upgrade をしてアップデートして試してみたいと思います。


にほんブログ村 PC家電ブログ デジモノへ

centos5.7がリリースされました。

centos5.7がリリースされました。どうやら、2011年09月13日頃(JST)に出たようです。
変更点や、詳細については以下を参照ください。
日本語のリリースノート

早速yum upgrade をしてアップデートして試してみたいと思います。

CentOS 5.6 がリリースされました。

 

 

CentOS 5.6 がリリースされました。

早速、家でもcentos 5.5からアップデートしましたが、bindのパッケージも対象に含まれていました。
リリースノートは、以下URLからどうぞ。
centosのリリースノート。


bind-9.3.6-16.P1.el5
bind-chroot-9.3.6-16.P1.el5
bind-libs-9.3.6-16.P1.el5
bind-utils-9.3.6-16.P1.el5

更新の際には、当然ながらnamedの再起動が走るわけですが、もともと設定に一部ミスがあり正常に起動してきませんでした。
先週は、朝5時ごろから対処してました。
みなさまも、confファイルの文法チェックをしていただくことをお勧めします。

named.conf のチェックを行う場合は、「named-checkconf 」コマンド、ゾーンデータをチェックする場合は、「named-checkzone」コマンドです。

##以下は主なOSのパッケージ比較となります。##

packge RHEL 6.0 CentOS 5.6 CentOS 5.5
Kernel kernel-2.6.32-71.el6 kernel-2.6.18-238.el5 kernel-2.6.18-194.el5
gcc gcc-4.4.4-13.el6 gcc-4.1.2-50.el5
(gcc44-4.4.4-13.el5)
gcc-4.1.2-48.el5
httpd httpd-2.2.15-5.el6 httpd-2.2.3-45.el5 httpd-2.2.3-43.el5
postfix postfix-2.6.6-2.el6 postfix-2.3.3-2.1.el5_2 postfix-2.3.3-2.1.el5_2
mysql mysql-5.1.47-4.el6 mysql-5.0.77-4.el5_5.4 mysql-5.0.77-4.el5_4.2
postgresql postgresql-8.4.4-2.el6 postgresql-8.1.22-1.el5_5.1 postgresql-8.1.18-2.el5_4.1
PHP php-5.3.2-6.el6 php-5.1.6-27.el5_5.3
(php53-5.3.3-1.el5)
php-5.1.6-27.el5
perl perl-5.10.1-115.el6 perl-5.8.8-32.el5_5.2 perl-5.8.8-27.el5
ruby ruby-1.8.7.299-4.el6 ruby-1.8.5-5.el5_4.8 ruby-1.8.5-5.el5_4.8
python python-2.6.5-3.el6 python-2.4.3-43.el5 python-2.4.3-27.el5

また、phpも5.3.3も利用できるようになったようでした。

☆☆centos5.6から追加されたパッケージ。

■yum list | grep php53

php53.x86_64 5.3.3-1.el5_6.1
php53-bcmath.x86_64 5.3.3-1.el5_6.1
php53-cli.x86_64 5.3.3-1.el5_6.1
php53-common.x86_64 5.3.3-1.el5_6.1
php53-dba.x86_64 5.3.3-1.el5_6.1
php53-devel.x86_64 5.3.3-1.el5_6.1
php53-gd.x86_64 5.3.3-1.el5_6.1
php53-imap.x86_64 5.3.3-1.el5_6.1
php53-intl.x86_64 5.3.3-1.el5_6.1
php53-ldap.x86_64 5.3.3-1.el5_6.1
php53-mbstring.x86_64 5.3.3-1.el5_6.1
php53-mysql.x86_64 5.3.3-1.el5_6.1
php53-odbc.x86_64 5.3.3-1.el5_6.1
php53-pdo.x86_64 5.3.3-1.el5_6.1
php53-pgsql.x86_64 5.3.3-1.el5_6.1
php53-process.x86_64 5.3.3-1.el5_6.1
php53-pspell.x86_64 5.3.3-1.el5_6.1
php53-snmp.x86_64 5.3.3-1.el5_6.1
php53-soap.x86_64 5.3.3-1.el5_6.1
php53-xml.x86_64 5.3.3-1.el5_6.1
php53-xmlrpc.x86_64 5.3.3-1.el5_6.1

■yum list | grep bind97

bind97.x86_64 32:9.7.0-6.P2.el5
bind97-chroot.x86_64 32:9.7.0-6.P2.el5
bind97-devel.i386 32:9.7.0-6.P2.el5
bind97-devel.x86_64 32:9.7.0-6.P2.el5
bind97-libs.i386 32:9.7.0-6.P2.el5
bind97-libs.x86_64 32:9.7.0-6.P2.el5
bind97-utils.x86_64 32:9.7.0-6.P2.el5

にほんブログ村 PC家電ブログ デジモノへ
にほんブログ村

TOP
NAVER まとめ ページ



twitterのつぶやき