BIND 9 に関しての脆弱性 ( CVE-2018-5734 ) — | サイオスOSS | サイオステクノロジー

BIND 9 に関しての脆弱性 ( CVE-2018-5734 ) — | サイオスOSS | サイオステクノロジー

BIND 9 に関しての脆弱性 ( CVE-2018-5734 )

02/28/2018(UTC)に、BIND 9 に関しての脆弱性情報 ( CVE-2018-5734 )が出ています。今回は、こちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。


こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

02/28/2018(UTC)に、BIND 9 に関しての脆弱性情報 ( CVE-2018-5734 )が出ています。今回は、こちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。


一次情報源

BIND 9 Security Vulnerability Matrix

CVE番号影響するバージョンプライオリティ攻撃
CVE-2018-57349.10.5-S1 to 9.10.5-S4, 9.10.6-S1, 9.10.6-S2Highリモート

Priority

High

CVSS

CVSS Score: 7.5

CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • CVE-2018-5734
    • 不正な形式のリクエストを処理する際のbadcache.cのアサーションフェイラー

    • 重要度 – High

    • 特定の不正な形式のパケットを処理する際に、BINDが誤ってFORMERRレコードSERVFAILレコードの代わり選択してしまいます。もしVIEWでSERVFAILキャッシュ機能を有効にしていた場合、リクエストが期待される全ての情報を持っていないため、badcache.cでアサーションフェイラーを引き起こしてしまう切っ掛けになります。

      影響するバージョン(9.10.5-S1〜9.10.5-S4,9.10.6-S1、および9.10.6-S2)のサーバでは、受信VIEWでSERVFAILキャッシュが無効になっていない限り、再起を許可すると影響を受けます。

      精細は各ディストリビューターの情報を参考にしてください。

    • ワークアラウンド

      SERVFAILキャッシュを、servfail-ttlの値を

      'servfail-ttl 0;'
      

      とすることで、アサーションフェイラーを防止することが出来ます。

      (参考)https://dnsops.jp/bof/20161201/BIND9.11-Q&A.pdf;


主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat Satelliteを使うと管理が便利でしょう。

Red Hat Satelliteを用いた一般的なErattaの適用は、『Red Hat Satellite 6でerrataを適用してみる』を 参考にして下さい。

また、アプリケーションの再起動が発生しますので、pacemakerなどOSSのクラスタ製品LifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。

[参考]

BIND 9 Security Vulnerability Matrix

BIND 9 Security Vulnerability Matrix

https://dnsops.jp/bof/20161201/BIND9.11-Q&A.pdf;

https://lists.isc.org/pipermail/bind-announce/2016-June/000991.html

セキュリティ系連載案内

タイトルとURLをコピーしました