bind に複数の脆弱性 ( CVE-2016-9131 , CVE-2016-9147 , CVE-2016-9444 , CVE-2016-9778 )

01/12/2017に、BINDに関して複数の脆弱性情報 ( CVE-2016-9131 , CVE-2016-9147 , CVE-2016-9444 , CVE-2016-9778 )が出ています。今回は、これらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
情報は逐次更新します。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

01/12/2017に、BINDに関して複数の脆弱性情報 ( CVE-2016-9131 , CVE-2016-9147 , CVE-2016-9444 , CVE-2016-9778 )が出ています。今回は、これらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

一次情報源

BIND 9 Security Vulnerability Matrix

CVE番号	影響するバージョン	プライオリティ	攻撃
CVE-2016-9131	9.9.9-P4, 9.9.9-S6, 9.10.4-P4, 9.11.0-P1	High	リモート
CVE-2016-9147	9.4.0 -> 9.6-ESV-R11-W1, 9.8.5 -> 9.8.8, 9.9.3 -> 9.9.9-P4, 9.9.9-S1 -> 9.9.9-S6, 9.10.0 -> 9.10.4-P4, 9.11.0 -> 9.11.0-P1	High	リモート
CVE-2016-9444	9.6-ESV-R9 ->9.6-ESV-R11-W1, 9.8.5 -> 9.8.8, 9.9.3 -> 9.9.9-P4, 9.9.9-S1 -> 9.9.9-S6, 9.10.0 -> 9.10.4-P4, 9.11.0 -> 9.11.0-P1	High	リモート
CVE-2016-9778	9.9.8-S1 -> 9.9.8-S3, 9.9.9-S1 -> 9.9.9-S6, 9.11.0-9.11.0 -> P1	High(設定に依存)	リモート

Priority

High

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

CVE-2016-9131

任意のクエリに対しての不正な形式のレスポンスによるrecursiveのassertion failureの可能性
重要度 – High
RTYPEのクエリにおける不正な形式のクエリレスポンスをrecursiveサーバが受け取ることにより、namedがRRsをキャッシュ中のクエリレスポンスに付け加えている際にassertion failureが発生する可能性が有ります。

CVE-2016-9147

矛盾したDNSSEC情報を含むクエリレスポンスのエラーハンドリングによるassertion failureの可能性
重要度 – High
クエリのタイプと受け取ったクエリ中のEDNSオプションに依存して、DNSSECが有効になった権威サーバがRRSIGと他のRRsetをrecursiveサーバのレスポンス中に含まれることを期待しますが、DNSSECに関連したRRsetが他のRRsetと矛盾する情報を含んでいる時にassertion failureが発生する可能性が有ります。

CVE-2016-9444

異常な形式のDSレコードレスポンスによるassertion failureの可能性
重要度 – High
DSリソースレコードに含まれた異常な形式の回答がassertion failureを引き起こす可能性が有ります。

CVE-2016-9778

nxdomain-redirect機能を用いた幾つかのクエリのエラーハンドリングによるdb.c中のassertion failure
重要度 – High
サーバがnxdomain-redirect機能を使っている時に、幾つかのクエリのエラーハンドリングがassertion failureを引き起こす可能性が有ります。