BIND 9 の複数の脆弱性情報(High: CVE-2018-5744, Medium: CVE-2018-5745, CVE-2019-6465)

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。

02/22/2019にBIND 9 の複数の脆弱性情報(High: CVE-2018-5744, Medium: CVE-2018-5745, CVE-2019-6465)が公開されています。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。



一次情報源

BIND 9 Security Vulnerability Matrix

CVE番号影響するバージョンプライオリティ攻撃
CVE-2018-5744 BIND 9.10.7 -> 9.10.8-P1, 9.11.3 -> 9.11.5-P1, 9.12.0 -> 9.12.3-P1, 9.10.7-S1 -> 9.11.5-S3, 9.13.0 -> 9.13.6HighリモートCVSS Score: 7.5CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
CVE-2018-5745 BIND 9.9.0 -> 9.10.8-P1, 9.11.0 -> 9.11.5-P1, 9.12.0 -> 9.12.3-P1, 9.9.3-S1 -> 9.11.5-S3, 9.13.0 -> 9.13.6。9.9.0より前のバージョンはCVE-2018-5745では評価されていません。MediumリモートCVSS Score: 4.9CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
CVE-2019-6465 BIND 9.9.0 -> 9.10.8-P1, 9.11.0 -> 9.11.5-P2, 9.12.0 -> 9.12.3-P2, 9.9.3-S1 -> 9.11.5-S3, 9.13.0 -> 9.13.6。9.9.0より前のバージョンはCVE-2019-6465では評価されていません。MediumリモートCVSS Score: 5.3CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5744
    • 細工されたパケットによるnamedのメモリリークの可能性
    • 重要度 – High/Important
    • EDNSオプションの特別な組み合わせを持つメッセージを処理している際に、メモリ解放に失敗することが有ります。これを利用して、攻撃者はnamedのメモリを、全てのプロセスのメモリが枯渇するまで境界を超えて拡張することが出来ます。通常はサーバプロセスが使用できるメモリの量に制限が有りますが、namedプロセスがOSによって制限されていない場合には、サーバ上の全てのメモリが使い果たされます。
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5745
    • “managed-keys”のエラーによる、managed-keysを使用しているBINDサーバの、アサーションフェーラー(Assertion Failure)によるnamedの故意の終了の可能性
    • 重要度 – Medium
    • キーのロールオーバー中にトラストアンカーキーがBINDによりサポートされていないアルゴリズムを使用しているキーに置き換えられた場合、”managed-keys”のエラーにより、managed-keysを使用しているBINDサーバがアサーションフェーラー(Assertion Failure)により、namedの故意の終了が発生する可能性が有ります。オペレーターがBINDの設定を攻撃者により管理されたトラストアンカーを使用するようにしなければならないため、攻撃者がこれを利用することは通常難しいです。しかしながら、攻撃に成功した場合には、この欠陥によりassertion failureが発生し、namedが故意に終了されます。

      BINDのすべてのバージョンが同じ暗号化アルゴリズムセットをサポートしているわけではないため、このバグが偶然に発生する可能性があります。特に、最近のBINDのブランチでは現在推奨されなくなった暗号化アルゴリズムを削除し始めています。

      この脆弱性は、もしリゾルバが推奨されていない暗号化アルゴリズムを削除したバージョンのBINDで動作していて、アルゴリズムタイプをこれらの非推奨のアルゴリズムの一つに変更するトラストアンカーを選択している場合に、発生する可能性が有ります。

  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6465
    • ゾーンが書き込み可能になっている時にDynamically Loadable Zones(DLZs)へのゾーン転送制御がきちんと行われない可能性
    • 重要度 – Medium
    • ゾーンが書き込み可能になっている時に、ACLでゾーン転送を許可されていないものに対してもDynamically Loadable Zones(DLZs)のゾーン転送が行われてしまう可能性が有ります。


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。


セキュリティ系連載案内


セミナー情報1

2019/03/07 16:00-18:00に「導入事例とともに見るクラウドセキュリティに必要な3つのポイント」が開催されます。

このセミナーでは2018年のクラウドセキュリティインシデントを振り返り、サイオスが行っている対策をご紹介させていただきます。

https://sios.connpass.com/event/120667/がプログラム内容と申し込みの詳細になります。奮ってご参加下さい。


タイトルとURLをコピーしました