ISC BIND 9 に対する複数の脆弱性に関する注意喚起

 JPCERT/CCからの「ISC BIND 9 に対する複数の脆弱性に関する注意喚起」をお知らせします。
各位
JPCERT-AT-2019-0019
JPCERT/CC
2019-04-25
<<< JPCERT/CC Alert 2019-04-25 >>>
ISC BIND 9 に対する複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190019.html

I.概要

ISC BIND 9 には、複数の脆弱性があります。脆弱性を悪用された場合、リモートからの攻撃によって、named が異常終了する可能性や、named に割り当てられたファイル記述子のリソースが意図せず使用され枯渇することで、ネットワーク接続やゾーンジャーナル等のファイル管理に影響する可能性があります。
なお、ISC は、脆弱性 CVE-2018-5743 に対する深刻度を「高 (High)」、脆弱性 CVE-2019-6467 に対する深刻度を「中 (Medium)」と評価しています。脆弱性の詳細については、ISC の情報を確認してください。

Internet Systems Consortium, Inc. (ISC)

CVE-2018-5743: Limiting simultaneous TCP clients is ineffective
https://kb.isc.org/docs/cve-2018-5743

Internet Systems Consortium, Inc. (ISC)

CVE-2019-6467: An error in the nxdomain redirect feature can cause BIND to exit with an INSIST assertion failure in query.c
https://kb.isc.org/docs/cve-2019-6467

また、上記以外に Supported Preview Edition のみが影響を受ける脆弱性(CVE-2019-6468) があります。
影響を受けるバージョンの ISC BIND 9 を運用している場合は、「III. 対策」を参考に、修正済みバージョンの適用について検討してください。

II.対象

脆弱性の影響を受けるバージョンは次のとおりです。

– CVE-2018-5743

 - BIND 9.14.0
 - BIND 9.12系 9.12.0 から 9.12.4 まで
 - BIND 9.11系 9.11.0 から 9.11.6 まで
 - BIND Supported Preview Edition 9.9.3-S1 から 9.11.5-S3 まで
 - BIND Supported Preview Edition 9.11.5-S5

– CVE-2019-6467

 - BIND 9.14.0
 - BIND 9.12系 9.12.0 から 9.12.4 まで

– CVE-2019-6468

 - BIND Supported Preview Edition 9.10.5-S1 から 9.11.5-S5 まで
 ※ 本脆弱性は Supported Preview Edition のみが対象になります

なお、CVE-2018-5743 については、既にサポートが終了している 9.9系及び9.10系も影響を受けるとのことです。
ディストリビュータが提供している BIND をお使いの場合は、使用中のディストリビュータなどの情報を参照してください。

III.対策

ISC から脆弱性を修正したバージョンの ISC BIND 9 が公開されています。
また、今後各ディストリビュータなどからも、修正済みのバージョンが提供されると思われますので、十分なテストを実施の上、修正済みのバージョンを適用することをご検討ください。

– BIND 9.11.6-P1

– BIND 9.12.4-P1
– BIND 9.14.1
– BIND Supported Preview Edition version 9.11.5-S6
– BIND Supported Preview Edition version 9.11.6-S1

IV. 参考情報

株式会社日本レジストリサービス (JPRS)
(緊急)BIND 9.xの脆弱性(ファイル記述子の過度な消費)について
(CVE-2018-5743) – フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、バージョンアップを強く推奨
https://jprs.jp/tech/security/2019-04-25-bind9-vuln-tcp-clients.html

株式会社日本レジストリサービス (JPRS)

BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2019-6467)
– nxdomain-redirect機能を有効にしている場合のみ対象、バージョンアップを推奨
https://jprs.jp/tech/security/2019-04-25-bind9-vuln-nxdomain-redirect.html

Internet Systems Consortium, Inc. (ISC)

CVE-2018-5743: Limiting simultaneous TCP clients is ineffective
https://kb.isc.org/docs/cve-2018-5743

Internet Systems Consortium, Inc. (ISC)

CVE-2019-6467: An error in the nxdomain redirect feature can cause BIND to exit with an INSIST assertion failure in query.c
https://kb.isc.org/docs/cve-2019-6467

Internet Systems Consortium, Inc. (ISC)

CVE-2019-6468: BIND Supported Preview Edition can exit with an assertion failure if nxdomain-redirect is used
https://kb.isc.org/docs/cve-2019-6468

Internet Systems Consortium, Inc. (ISC)

BIND 9 Security Vulnerability Matrix
https://kb.isc.org/docs/aa-00913

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: jpcert
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/