ISC BIND 9 の脆弱性に関する注意喚起

　JPCERT/CCからの「ISC BIND 9 の脆弱性に関する注意喚起」をお知らせします。

各位

JPCERT-AT-2019-0043
JPCERT/CC
2019-11-21

<<< JPCERT/CC Alert 2019-11-21 >>>
ISC BIND 9 の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190043.html

I.概要

ISC BIND 9 には、TCP パイプラインに関する脆弱性があります。脆弱性を悪用された場合、リモートからの攻撃によって、システムリソースを過度に消費し、結果として named が一時的に停止したり、サービスの品質の低下が発生する可能性があります。
なお、ISC は、脆弱性 CVE-2019-6477 に対する深刻度を「中 (Medium)」と評価しています。脆弱性の詳細については、ISC の情報を確認してください。

Internet Systems Consortium, Inc. (ISC)

CVE-2019-6477: TCP-pipelined queries can bypass tcp-clients limit
https://kb.isc.org/docs/cve-2019-6477

影響を受けるバージョンの ISC BIND 9 を運用している場合は、「III. 対策」を参考に、修正済みバージョンの適用について検討してください。

II.対象

脆弱性の影響を受けるバージョンは次のとおりです。

– BIND 9.14系 9.14.1 から 9.14.7 まで

– BIND 9.12系 9.12.4-P1 から 9.12.4-P2 まで
– BIND 9.11系 9.11.6-P1 から 9.11.12 まで
– BIND Supported Preview Edition 9.11.5-S6 から 9.11.12-S1 まで

ディストリビュータが提供している BIND をお使いの場合は、使用中のディストリビュータなどの情報を参照してください。なお、ISC によると BIND 9.10系以前のサポートが終了しているバージョンについて当該脆弱性の影響の有無は評価されていないとのことです。

III. 対策

ISC から脆弱性を修正したバージョンの ISC BIND 9 が公開されています。
また、今後各ディストリビュータなどからも、修正済みのバージョンが提供されると思われますので、十分なテストを実施の上、修正済みのバージョンを適用することをご検討ください。

– BIND 9.11.13

– BIND 9.14.8
– BIND Supported Preview Edition version 9.11.13-S1

また、以下の設定によって、サーバの TCP パイプラインを無効化することで、本脆弱性の影響を回避することができます。ただし、’reload’ や ‘reconfig’ ではなく、BIND を再起動する必要があります。

keep-response-order { any; };

IV. 参考情報

株式会社日本レジストリサービス (JPRS)
（緊急）BIND 9.xの脆弱性（システムリソースの過度な消費）について
（CVE-2019-6477） – フルリゾルバー（キャッシュDNSサーバー）／権威DNSサーバーの双方が対象、バージョンアップを強く推奨 –
https://jprs.jp/tech/security/2019-11-21-bind9-vuln-tcp-pipelining.html

Internet Systems Consortium, Inc. (ISC)

BIND 9 Security Vulnerability Matrix
https://kb.isc.org/docs/aa-00913

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL:
TEL:03-6271-0610 FAX: 03-6271-8908
https://www.jpcert.or.jp/