こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

12月16日にbind9の脆弱性(CVE-2015-8000, CVE-2015-8461)が報告されています。影響度合いも”Critical”,”Medium”になっていますので、ここでは、本脆弱性について簡単にまとめてみます。

(※)各社対応については逐次更新します

Critical

下記のバージョンに上げてください。詳しくは、各ディストリビューションの情報を参照してください

• bind-9.8系列: 9.9.8-P2
• bind-9.10系列: 9.10.3-P2

• CVE-2015-8000

• namedに対するリモートからのサービス停止

• 重要度 – Critical

• BINDが悪意のあるDNS入力に対して拒絶する箇所にバグがあり、不正なクラスを受け付けてしまうようになっていました。これにより、REQUIREアサーションフェーラーを引き起こし、結果としてnamedを異常終了させることが可能になります。この脆弱性を利用した攻撃は、リモートから可能になります。

• CVE-2015-8461

• 競合によるDoSの脆弱性

• 重要度 – 中

• 実装上の問題により、resolver.c中のINSIST assertin failureの出力を伴い、namedが以上終了します。

bind9及び関係するパッケージのバージョンを更新する必要があります。

詳細は、各ディストリビューションの提供元にご確認ください

• 本家

• CVE-2015-8000

• CVE-2015-8461

• debian

• CVE-2015-8000

• CVE-2015-8461

• ubuntu

• http://people.canonical.com/%7Eubuntu-security/cve/2015/CVE-2015-8000.html

• http://people.canonical.com/%7Eubuntu-security/cve/2015/CVE-2015-8461.html

• Red Hat Enterprise Linux/CentOS

CVE-2015-8000

• RHEL6,RHEL7

• RHEL5(bind97)

• RHEL5(bind)

CVE-8461

• (not affected)

• Oracle Linux/Oracle VM

CVE-2015-8000

• OL6,OL7

• OL5(bind97)

• OL5(bind)

• OVM3.3(bind)

CVE-8461

• (not affected)

• SUSE

CVE-2015-8000

• CVE-2015-8000: bind: remote denial of service by misparsing incoming responses

CVE-2015-8000

• (not affected)

[参考]

• CVE-2015-8000
• CVE-2015-8461
• Internet Systems Consortium (ISC) Releases Security Updates for BIND
• ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2015-8000) に関する注意喚起
• BIND 9.xの脆弱性（DNSサービスの停止）について