bind 9 に緊急の脆弱性 ( CVE-2016-2776 )
ここでは、Red HatやCentOSなど各ディストリビューションの対応状況などをまとめています。
情報は逐次更新していきます。
(2016/10/04更新:exploitコードも公開されたので、早急な対応が必要です)
こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。
9月27日(日本時間9月28日)にbind9の脆弱性(CVE-2016-2776)が報告されています。影響度合いも”High”になっていますので、ここでは、本脆弱性について簡単にまとめてみます。
(2016/10/04更新:exploitコードも公開されたので、早急な対応が必要です)
関連するCVE
CVE-2016-2776
Priority
Critical
影響するバージョン
全てのバージョンのBIND9
9.0.x -> 9.8.x, 9.9.0->9.9.9-P2, 9.9.3-S1->9.9.9-S3, 9.10.0->9.10.4-P2, 9.11.0a1->9.11.0rc1
CVE情報 (詳細はリンク先/一次情報源のサイトをご確認ください)
CVE情報
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2176
一次情報源
特異的に作られたリクエストへの応答中に、buffer.cでのアサーションエラーによる異常終了
重要度 – High
BIND 9.xで応答を構築する際に重大なエラーが有り、パケットの中のメッセージレンダリング異常が、クエリに対する応答を構築している間にbuffer.c内でアサーションエラーを引き起こす可能性が有ります。
このアサーションは、クエリを許可されているSource IPアドレス以外のアドレスからも引き起こすことが可能です。
主なディストリビューションの対応方法
bind9及び関係するパッケージのバージョンを更新する必要があります。
詳細は、各ディストリビューションの提供元にご確認ください
本家 (ISC)
debian
ubuntu
Red Hat Enterprise Linux/CentOS
RHEL 5 / CentOS 5 (bind)
RHEL 5 / CentOS 5 (bind97)
RHEL 6 / CentOS 6
RHEL 7 / CentOS 7
Oracle Linux
SUSE
情報
修正パッケージ
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat Satelliteを使うと管理が便利でしょう。
また、bindサービスの再起動が発生しますので、pacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。
[参考]
