こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。
02/22/2019にBIND 9 の複数の脆弱性情報(High: CVE-2018-5744, Medium: CVE-2018-5745, CVE-2019-6465)が公開されています。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
[関連リンク(最新5件)]
BIND 9(Red Hat Enterprise Linux/CentOSパッケージ版)の脆弱性情報(Moderate: CVE-2018-5742)
BINDに関してのOperational Notification (DNSSEC鍵の削除による壊れたNSEC / NSEC3チェインと不要なRRSIGの生成)
一次情報源
BIND 9 Security Vulnerability Matrix
| CVE番号 | 影響するバージョン | プライオリティ | 攻撃 | ||
|---|---|---|---|---|---|
| CVE-2018-5744 | BIND 9.10.7 -> 9.10.8-P1, 9.11.3 -> 9.11.5-P1, 9.12.0 -> 9.12.3-P1, 9.10.7-S1 -> 9.11.5-S3, 9.13.0 -> 9.13.6 | High | リモート | CVSS Score: 7.5 | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| CVE-2018-5745 | BIND 9.9.0 -> 9.10.8-P1, 9.11.0 -> 9.11.5-P1, 9.12.0 -> 9.12.3-P1, 9.9.3-S1 -> 9.11.5-S3, 9.13.0 -> 9.13.6。9.9.0より前のバージョンはCVE-2018-5745では評価されていません。 | Medium | リモート | CVSS Score: 4.9 | CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H |
| CVE-2019-6465 | BIND 9.9.0 -> 9.10.8-P1, 9.11.0 -> 9.11.5-P2, 9.12.0 -> 9.12.3-P2, 9.9.3-S1 -> 9.11.5-S3, 9.13.0 -> 9.13.6。9.9.0より前のバージョンはCVE-2019-6465では評価されていません。 | Medium | リモート | CVSS Score: 5.3 | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
修正方法
各ディストリビューションの情報を確認してください。
CVE概要(詳細はCVEのサイトをご確認ください)
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5744
- 細工されたパケットによるnamedのメモリリークの可能性
- 重要度 – High/Important
- EDNSオプションの特別な組み合わせを持つメッセージを処理している際に、メモリ解放に失敗することが有ります。これを利用して、攻撃者はnamedのメモリを、全てのプロセスのメモリが枯渇するまで境界を超えて拡張することが出来ます。通常はサーバプロセスが使用できるメモリの量に制限が有りますが、namedプロセスがOSによって制限されていない場合には、サーバ上の全てのメモリが使い果たされます。
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5745
- “managed-keys”のエラーによる、managed-keysを使用しているBINDサーバの、アサーションフェーラー(Assertion Failure)によるnamedの故意の終了の可能性
- 重要度 – Medium
- キーのロールオーバー中にトラストアンカーキーがBINDによりサポートされていないアルゴリズムを使用しているキーに置き換えられた場合、”managed-keys”のエラーにより、managed-keysを使用しているBINDサーバがアサーションフェーラー(Assertion Failure)により、namedの故意の終了が発生する可能性が有ります。オペレーターがBINDの設定を攻撃者により管理されたトラストアンカーを使用するようにしなければならないため、攻撃者がこれを利用することは通常難しいです。しかしながら、攻撃に成功した場合には、この欠陥によりassertion failureが発生し、namedが故意に終了されます。
BINDのすべてのバージョンが同じ暗号化アルゴリズムセットをサポートしているわけではないため、このバグが偶然に発生する可能性があります。特に、最近のBINDのブランチでは現在推奨されなくなった暗号化アルゴリズムを削除し始めています。
この脆弱性は、もしリゾルバが推奨されていない暗号化アルゴリズムを削除したバージョンのBINDで動作していて、アルゴリズムタイプをこれらの非推奨のアルゴリズムの一つに変更するトラストアンカーを選択している場合に、発生する可能性が有ります。
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6465
- ゾーンが書き込み可能になっている時にDynamically Loadable Zones(DLZs)へのゾーン転送制御がきちんと行われない可能性
- 重要度 – Medium
- ゾーンが書き込み可能になっている時に、ACLでゾーン転送を許可されていないものに対してもDynamically Loadable Zones(DLZs)のゾーン転送が行われてしまう可能性が有ります。
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
- Debian
https://security-tracker.debian.org/tracker/CVE-2018-5744
- Red Hat Enterprise Linux/CentOS
https://access.redhat.com/security/cve/CVE-2018-5744
- Ubuntu
https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-5744.html
https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-5745.html
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-6465.html
- SUSE/openSUSE
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。
また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。
セキュリティ系連載案内
- OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
- OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
- OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2018のレポートが紹介されています。
- OSSセキュリティ技術の会の面により、@ITで「OSS脆弱性ウォッチ」が連載されています。
- OSSセキュリティ技術の会の面により、@ITで「OpenSCAPで脆弱性対策はどう変わる?」が連載されています。
- OSSセキュリティ技術の会のメンバーにより、@ITで「Berkeley Packet Filter(BPF)入門」が連載されています。
セミナー情報1
2019/03/07 16:00-18:00に「導入事例とともに見るクラウドセキュリティに必要な3つのポイント」が開催されます。
このセミナーでは2018年のクラウドセキュリティインシデントを振り返り、サイオスが行っている対策をご紹介させていただきます。
https://sios.connpass.com/event/120667/がプログラム内容と申し込みの詳細になります。奮ってご参加下さい。
