bind 9に緊急の脆弱性(CVE-2016-1285, CVE-2016-1286, CVE-2016-2088)
こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。
3月10日にbind9の脆弱性(CVE-2016-1285, CVE-2016-1286)が報告されています。影響度合いも”High”になっていますので、ここでは、本脆弱性について簡単にまとめてみます。
Priority
Critical
影響するバージョン
| bindバージョン | CVE-2016-1285 | CVE-2016-1286 | CVE-2016-2088 |
|---|---|---|---|
| 9系列 | 9.2.0以降全てのバージョン | 9.2.0以降全てのバージョン | – |
| 9.10系列 | 9.10.3-P3以前のバージョン | 9.10.3-P3以前のバージョン | 9.10.3-P3以前のバージョン |
CVE概要(詳細はCVEのサイトをご確認ください)
- CVE-2016-1285
namedに対するリモートからのサービス停止(DoS)
重要度 – High
BIND 9.xで文字列のフォーマット処理に不具合があり、悪意のあるユーザが作成した不正なrdncを受け取った際にnamedが異常終了を起こす場合があります。
- CVE-2016-1286
DNAMEリソースレコードのパースエラーによるリモートからのサービス停止(DoS)
重要度 – High
DNAMEリソースレコードのパースエラーによりnamedをクラッシュすることが出来、結果的にDoSが引き起こされる可能性があります。
- CVE-2016-2088
DNS cookie処理の不具合によるサービス停止
重要度 – High
DNS cookieを有効にしている時に、複数のCOOKIE OPTオプションを含む不正なパケットを受け取った際にnamedが異常終了を起こす可能性があります。
主なディストリビューションの対応方法
bind9及び関係するパッケージのバージョンを更新する必要があります。
詳細は、各ディストリビューションの提供元にご確認ください
本家
debian
ubuntu
http://people.canonical.com/%7Eubuntu-security/cve/2016/CVE-2016-1285.html
http://people.canonical.com/%7Eubuntu-security/cve/2016/CVE-2016-1286.html
http://people.canonical.com/%7Eubuntu-security/cve/2016/CVE-2016-2088.html
Red Hat Enterprise Linux/CentOS
CVE-2016-1285
CVE-2016-1286
CVE-2016-2088
Not Affected
Oracle Linux/Oracle VM
CVE-2016-1285
CVE-2016-1286
CVE-2016-2088
Not Affected
SUSE
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat Satelliteを使うと管理が便利でしょう。
また、bindサービスの再起動が発生しますので、pacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。
[参考]
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-1285)