BIND 9.x の脆弱性 (CVE-2015-8704) の影響と対処
[本ドキュメントの対象となる製品]
- Asianux Server 4 == MIRACLE LINUX V6 for x86 (32bit)
- Asianux Server 4 == MIRACLE LINUX V6 for x86_64 (64bit)
- Asianux Server 7 == MIRACLE LINUX V7 for x86_64 (64bit)
[概要]
2016年1月19日(米国現地時間)にBIND 9.x の脆弱性が発見されました。
この脆弱性は実装上の不具合により不正なレコードを受け取ったときの内部処理において、namedが異常終了を起こします。
[詳細]
特定の文字列を初期化する処理において、apl_42.c の INSIST エラーによってサーバが終了する可能性があります。例えば、テキスト形式の db ファイルを使用しているスレーブは、マスターからのゾーン転送において細工されたレコードを受信することで、本脆弱性の影響を受け、サーバが終了する可能性があります。
[影響の有無の確認方法]
下記手順にて、BIND パッケージのバージョンを確認してください。
1. OS のバージョンを確認してください
(表示は一例です)
# cat /etc/asianux-release
Asianux Server 4 (Hiranya SP5)
2. rpm コマンドで BIND パッケージのバージョンを確認してください
(表示は一例です)
# rpm -q bind
bind-9.8.2-0.37.5.0.2.rc1.AXS4.x86_64
【対応表】
製品名 | BIND のバージョン | 本脆弱性への影響 |
---|---|---|
Asianux Server 4 | bind-9.8.2-0.37.5.0.2.rc1.AXS4 未満のバージョン | あり |
Asianux Server 7 | bind-9.9.4-29.1.0.2.el7.AXS7 未満のバージョン | あり |
[解決方法]
本脆弱性に対する回避策はありません。BIND パッケージをアップデートしてください。
1. インストール済みパッケージを確認する
システムにインストールされている BIND パッケージをご確認ください。
# rpm -qa --qf '%{name}-%{version}-%{release}.%{arch}.rpm\n' | grep ^bind
# rpm -qa --qf '%{name}-%{version}-%{release}.%{arch}.rpm\n' | grep ^caching-nameserver
2. パッケージをダウンロードする
以下の URL から修正済みパッケージをダウンロードしてください。
Asianux Server 4
bind-9.8.2-0.37.5.0.2.rc1.AXS4
https://tsn.miraclelinux.com/ja/node/6414
Asianux Server 7
bind-9.9.4-29.1.0.2.el7.AXS7
https://tsn.miraclelinux.com/ja/node/6411
3. パッケージをアップデートする
パッケージのテスト(依存関係のチェック)を行います。
(例)
# rpm -Uhv bind-9.8.2-0.37.5.0.2.rc1.AXS4.x86_64.rpm \
bind-libs-9.8.2-0.37.5.0.2.rc1.AXS4.x86_64.rpm \
bind-utils-9.8.2-0.37.5.0.2.rc1.AXS4.x86_64.rpm \
bind-chroot-9.8.2-0.37.5.0.2.rc1.AXS4.x86_64.rpm --test
パッケージのテストで問題ないようであれば、アップデートを行います。
(例)
# rpm -Uhv bind-9.8.2-0.37.5.0.2.rc1.AXS4.x86_64.rpm \
bind-libs-9.8.2-0.37.5.0.2.rc1.AXS4.x86_64.rpm \
bind-utils-9.8.2-0.37.5.0.2.rc1.AXS4.x86_64.rpm \
bind-chroot-9.8.2-0.37.5.0.2.rc1.AXS4.x86_64.rpm
アップデート後は named サービスを再起動してください。
(Asianux Server 4 の場合)
# service named restart
(Asianux Server 7 の場合)
# systemctl restart named.service
[参考URL]
ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2015-8704) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160006.html
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2015-8704)
http://jprs.jp/tech/security/2016-01-20-bind9-vuln-stringformat.html
[注意事項]
本ドキュメントは、各ソフトウェア開発元の情報およびマニュアル等に基づく参考情報です。
本ドキュメントの内容は、予告なしに変更される場合があります。
本ドキュメントは、限られた評価環境における検証結果をもとに作成しており、全ての環境での動作を保証するものではありません。
本ドキュメントの内容に基づき、導入、設定、運用を行なったことにより損害が生じた場合でも、弊社はその損害についての責任を負いません。あくまでお客様のご判断にてご使用ください。
[更新履歴]
2016年01月21日 新規作成
2016年02月01日 詳細、影響の有無の確認方法並びに、解決方法を記述