こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

1月20日にbind9の脆弱性(CVE-2015-8704, CVE-2015-8705)が報告されています。影響度合いも"Critical","Medium"になっていますので、ここでは、本脆弱性について簡単にまとめてみます。

Critical

• CVE-2015-8704

• namedに対するリモートからのサービス停止

• 重要度 - Critical

• BIND 9.xで文字列のフォーマット処理に不具合があり、不正なレコードを受け取った際にnamedが異常終了を起こす場合があります。この脆弱性によりnamedが異常終了した場合には、apl_42.cにおいて"INSIST" assertion failureを引き起こしたメッセージがログに出力されます。

• CVE-2015-8705

• バッファーオーバーフローによるnamedクラッシュの可能性

• 重要度 - 中

• 実装上の問題により、buffer.cにおいて REQUIRE assertion failureが引き起こされる可能性があります。

bind9及び関係するパッケージのバージョンを更新する必要があります。

詳細は、各ディストリビューションの提供元にご確認ください

• 本家

• CVE-2015-8704

• CVE-2015-8705

• debian

• CVE-2015-8704

• CVE-2015-8705

• ubuntu

• http://people.canonical.com/%7Eubuntu-security/cve/2015/CVE-2015-8704.html

• http://people.canonical.com/%7Eubuntu-security/cve/2015/CVE-2015-8705.html

• Red Hat Enterprise Linux/CentOS

CVE-2015-8704

• RHEL6,RHEL7

  https://rhn.redhat.com/errata/RHSA-2016-0073.html

• RHEL5(bind97)

  https://rhn.redhat.com/errata/RHSA-2016-0073.html

• RHEL5(bind)

  https://rhn.redhat.com/errata/RHSA-2016-0073.html

CVE-2015-8705

• (not affected)

• Oracle Linux/Oracle VM

• SUSE

CVE-2015-8704

• CVE-2015-8704

CVE-2015-8705

• (not affected)

[参考]

CVE-2015-8704

CVE-2015-8705

ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2015-8704) に関する注意喚起

ISC BIND 9 に複数のサービス運用妨害 (DoS) の脆弱性