ISC BIND 9 に複数の脆弱性

最終更新日: 2019/02/27

情報源

US-CERT Current Activity
ISC Releases Security Updates for BIND
https://www.us-cert.gov/ncas/current-activity/2019/02/22/ISC-Releases-Security-Updates-BIND

概要

ISC BIND 9 には、複数の脆弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは次のとおりです。

– BIND 9.12.0 から 9.12.3-P2 まで
– BIND 9.11.0 から 9.11.5-P2 まで

なお、既にサポートが終了している、BIND 9.9 系および 9.10 系が影響する脆弱性も含まれています。

この問題は、ISC BIND を ISC が提供する修正済みのバージョンに更新することで解決します。詳細は、ISC が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC 注意喚起
ISC BIND 9 に対する複数の脆弱性 (CVE-2018-5744, CVE-2018-5745, CVE-2019-6465) に関する注意喚起

https://www.jpcert.or.jp/at/2019/at190009.html

株式会社日本レジストリサービス (JPRS)

（緊急）BIND 9.xの脆弱性（メモリリークの発生）について（CVE-2018-5744） – フルリゾルバー（キャッシュDNSサーバー）／権威DNSサーバーの双方が対象、バージョンアップを強く推奨 –
https://jprs.jp/tech/security/2019-02-22-bind9-vuln-edns-options.html

株式会社日本レジストリサービス (JPRS)

BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2018-5745）- バージョンアップを推奨 –
https://jprs.jp/tech/security/2019-02-22-bind9-vuln-managed-keys.html

株式会社日本レジストリサービス (JPRS)

BIND 9.xの脆弱性（アクセス制限の不具合によるゾーンデータの流出）について（CVE-2019-6465）- バージョンアップを推奨 –
https://jprs.jp/tech/security/2019-02-22-bind9-vuln-dlz.html

Japan Vulnerability Notes JVNVU#92881878

ISC BIND 9 に複数の脆弱性
https://jvn.jp/vu/JVNVU92881878/

関連文書（英語）

ISC Knowledge Base

CVE-2018-5744: A specially crafted packet can cause named to leak memory
https://kb.isc.org/docs/cve-2018-5744

ISC Knowledge Base

CVE-2018-5745: An assertion failure can occur if a trust anchor rolls over to an unsupported key algorithm when using managed-keys

https://kb.isc.org/docs/cve-2018-5745

ISC Knowledge Base

CVE-2019-6465: Zone transfer controls for writable DLZ zones were not effective
https://kb.isc.org/docs/cve-2019-6465

引用元：JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-02-27」
https://www.jpcert.or.jp/wr/2019/wr190801.html