bind 9に緊急の脆弱性(CVE-2015-8704, CVE-2015-8705) — | サイオスOSS | サイオステクノロジー

bind 9に緊急の脆弱性(CVE-2015-8704, CVE-2015-8705)

bind 9に緊急の脆弱性(CVE-2015-8704, CVE-2015-8705)が発生しました。
各ディストリビューションの状況を追いかけてみます。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

1月20日にbind9の脆弱性(CVE-2015-8704, CVE-2015-8705)が報告されています。影響度合いも”Critical”,”Medium”になっていますので、ここでは、本脆弱性について簡単にまとめてみます。

 


Priority

Critical

影響するバージョン

bindバージョンCVE-2015-8704CVE-2015-8705
9系列9.3.0以降全てのバージョン
9.10系列9.10.3-P2以前のバージョン9.10.3-P2以前のバージョン

CVE概要(詳細はCVEのサイトをご確認ください)

  • CVE-2015-8704
    • namedに対するリモートからのサービス停止

    • 重要度 – Critical

    • BIND 9.xで文字列のフォーマット処理に不具合があり、不正なレコードを受け取った際にnamedが異常終了を起こす場合があります。この脆弱性によりnamedが異常終了した場合には、apl_42.cにおいて”INSIST” assertion failureを引き起こしたメッセージがログに出力されます。

  • CVE-2015-8705
    • バッファーオーバーフローによるnamedクラッシュの可能性

    • 重要度 – 中

    • 実装上の問題により、buffer.cにおいて REQUIRE assertion failureが引き起こされる可能性があります。


主なディストリビューションの対応方法

bind9及び関係するパッケージのバージョンを更新する必要があります。

詳細は、各ディストリビューションの提供元にご確認ください

CVE-2015-8704

CVE-2015-8705

      • (not affected)

    • Oracle Linux/Oracle VM

    • SUSE

CVE-2015-8704

CVE-2015-8705

  • (not affected)

[参考]

CVE-2015-8704

CVE-2015-8705

ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2015-8704) に関する注意喚起

ISC BIND 9 に複数のサービス運用妨害 (DoS) の脆弱性

—–

タイトルとURLをコピーしました