(CVE-2016-2848)DNS サーバ BIND9.X の脆弱性

前回のBindの脆弱性については、9月29日にお伝えしたばかりですが、それに続いてまたしても脆弱性が公表されました。

前回の記事についてはこちら

  • (CVE-2016-2776)[ニュース] DNS サーバ BIND の脆弱性

脆弱性が多く、最も狙われやすいのがDNSサーバだと言われていますので、今回の脆弱性に対してもしっかり対策をする必要があるでしょう。

どのような脆弱性か

今回の脆弱性はどのようなものなのでしょうか。JVNによると、サービス運用妨害 (DoS)の可能性があるとされ、ISC BIND には、細工したオプション情報を含むパケットによって assertion failture (表明違反) が引き起こされる脆弱性が存在するということです。

しかしながら、今回の脆弱性に関しては該当のバージョンは2013年5月以前のバージョンに限られており、該当するかどうかはバージョン情報を確認する必要があります。

 

該当バージョン

該当するバージョンは下記のとおりです

  • BIND 9.1.0 から 9.8.4-P2 まで
  • BIND 9.9.0 から 9.9.2-P2 まで

対策 :バージョンの確認

対策としては、脆弱性公開されているバージョンへのアップデートが勧められています。また、2013年5月より前にリリースされたバージョンを取り込んで独自にメンテナンスされている製品は、本脆弱性の影響を受ける可能性があるとのことなので、該当するバージョンかどうかの確認は、BIND のソースコードと共に配布されている CHANGES ファイルを見てみましょう。(CHANGES ファイルを確認できない場合は、その製品の提供元にお問い合わせください。)

ISC がリリースしている BIND では、本脆弱性は 2013年5月にリリースされたバージョンで修正されています。

また、現在公開されているBindの中でも下記の現在 ISC がサポートしている次のバージョンには、本脆弱性は存在しません。

  • BIND 9 version 9.9.9-P3
  • BIND 9 version 9.10.4-P3
  • BIND 9 version 9.11.0

 

まとめ

今回の脆弱性は古いバージョンのものが該当するという珍しいものでした。BINDは製品内に取り入れて独自にメンテナンス等を行っていることが多いので、このような情報にもしっかりと目を向けていきましょう。

  • このエントリーをはてなブックマークに追加
  • Pocket