BIND 9の脆弱性 ( CVE-2018-5738 )




06/12/2018(UTC)に、BIND 9に関しての脆弱性情報 ( CVE-2018-5738 )が出ています。今回は、こちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。


こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

06/12/2018(UTC)に、BIND 9に関しての脆弱性情報 ( CVE-2018-5738 )が出ています。今回は、こちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。


一次情報源

BIND 9 Security Vulnerability Matrix

CVE番号影響するバージョンプライオリティ攻撃
CVE-2018-57389.9.12, 9.10.7, 9.11.3, 9.12.0->9.12.1-P2, the development release 9.13.0, and also releases 9.9.12-S1, 9.10.7-S1, 9.11.3-S1, and 9.11.3-S2 from BIND 9 Supported Preview Edition.MediumリモートCVSS Score: 5.3CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • CVE-2018-5738
    • 不正なクライアントへの再帰的クエリサービスの不適切な許可

    • 重要度 – Medium

    • Change #4777(2017年10月に導入されました)の変更が後に発行されたバージョンに予想外の問題を生み出し、BINDネームサーバーへの再帰的クエリを許可するクライアントに影響を与えました。

      意図した(ドキュメント化された)振る舞いとしては、オペレータが”allow-recursion”設定に値を指定していない場合、デフォルトで以下の何れかになるべきでした。

      • もし”recursion no”がnamed.confに指定されていた場合にはnone。

      • “recursion yes”(デフォルト)が指定されていて、マッチリストが明示的に”allow-query-cache”又は”allow-query”を設定されている場合、”allow-query-cache”または “allow-query”設定から継承した値(詳しくはBIND9 管理者リファレンスマニュアル6.2章を参照)。

      • “recursion yes”(デフォルト)が指定されていて、”allow-query-cache”又は”allow-query”が設定されていない場合、意図された”allow-recursion {localhost;localnets;}”のデフォルト。

      しかしながら、Change#4777でのレグレッションにより、 全てのホストからの”allow-query”設定がデフォルトになるように”allow-query-cache”又は”allow-query”のための”allow-recursion”の設定が提供されていてマッチリストの値に無い場合、”recursion yes;” が有効になってしまう可能性があります。

    • インパクト

    • この問題により、いくつかの影響があります。

      • 許可されていないクライアントからの追加のクエリは、サーバの負荷を増大させ、サービスを低下させる可能性があります。

      • 許可されていないクライアントからの照会を許可すると、サーバがDNSリフレクション攻撃の使用を手助けする可能性があります。

      • 攻撃者はキャッシュから応答されたクエリの結果を調べることで、サーバが以前にサービスしたクエリを遂行し、クエリが実行された可能性のあるプライベート情報を漏洩する可能性があります。


主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。

また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品を使うとサービス断の時間を最小限にすることが出来ます。

セキュリティ系連載案内

タイトルとURLをコピーしました