JVNDB-2014-005944

ISC BIND におけるサービス運用妨害 (DoS) の脆弱性

ISC BIND は、委譲チェーン (delegation chaining) を制限しないため、サービス運用妨害 (メモリ消費および named のクラッシュ) 状態にされる脆弱性が存在します。

ISC, Inc.

• BIND 9.0.x から 9.8.x
• BIND 9.9.0 から 9.9.6
• BIND 9.10.0 から 9.10.1

アップル

• macOS Server (旧 OS X Server) 5.0.3 未満 (OS X Yosemite v10.10.5 以降)

オラクル

• Oracle Solaris 10
• Oracle Solaris 11.2

日本電気

• Express5800 InterSecVM/SG V3.1
• Express5800 SG3000LG
• Express5800 SG3600LG
• SecureBranch Version 3.2

本脆弱性の影響を受ける日本電気製品の詳細については、ベンダ情報 NV15-008 をご確認ください。

第三者により、大量または無限の照会を介して、サービス運用妨害 (メモリ消費および named のクラッシュ) 状態にされる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Canonical

• Ubuntu Security Notice : USN-2437-1

IBM

• IBM Support Document : 1694292
• IBM セキュリティー情報 : 1695536

ISC, Inc.

• Knowledge Base : CVE-2014-8500: A Defect in Delegation Handling Can Be Exploited to Crash BIND (AA-01216)

アップル

• Apple Mailing Lists : APPLE-SA-2015-09-16-4 OS X Server 5.0.3
• Apple Security Updates : HT205219
• Apple セキュリティアップデート : HT205219

アライドテレシス

• JVN : アライドテレシス株式会社からの情報

オラクル

• Oracle Technology Network : Oracle Third Party Bulletin - January 2015

ターボリナックス

• 製品セキュリティ情報 : TLSA-2015-1

ヒューレット・パッカード

• HP Security Bulletin : HPSBUX03235

マイクロソフト

• Server & Tools Blogs : Handling Endless Delegation Chains in Windows DNS Server

ミラクル・リナックス

• Asianux Technical Support Network : bind-9.3.6-25.P1.2.0.1.AXS3
• Asianux Technical Support Network : bind-9.8.2-0.30.1.0.1.rc1.AXS4

日本電気

• NEC製品セキュリティ情報 : NV15-008

1. リソース管理の問題(CWE-399) [NVD評価]

1. CVE-2014-8500

1. JVN : JVNVU#94007830
2. JVN : JVNVU#91812636
3. JVN : JVNVU#99970459
4. National Vulnerability Database (NVD) : CVE-2014-8500
5. JPCERT 注意喚起 : JPCERT-AT-2014-0050
6. US-CERT Vulnerability Note : VU#264212
7. CERT-FR : CERTFR-2014-AVI-512
8. JPRS : DNS ソフトウェアアップデート情報
9. JPRS : BIND 9.10.xの脆弱性（DNSサービスの停止）について（2014年12月9日公開）
10. JPRS : （緊急）複数のDNSソフトウェアにおける脆弱性（システム資源の過度な消費） について（2014年12月9日公開）
11. 関連文書 : MGASA-2014-0524

• [2014年12月15日]
    掲載
  [2014年12月26日]
    ベンダ情報：マイクロソフト (Handling Endless Delegation Chains in Windows DNS Server) を追加
    ベンダ情報：ミラクル・リナックス (bind-9.8.2-0.30.1.0.1.rc1.AXS4) を追加
    ベンダ情報：ミラクル・リナックス (bind-9.3.6-25.P1.2.0.1.AXS3) を追加
  [2015年01月30日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：オラクル (Oracle Third Party Bulletin - January 2015) を追加
  [2015年03月26日]
    ベンダ情報：ターボリナックス (TLSA-2015-1) を追加
  [2015年04月21日]
    ベンダ情報：アライドテレシス (アライドテレシス株式会社からの情報) を追加
  [2015年04月30日]
    ベンダ情報：IBM (1694292) を追加
    ベンダ情報：IBM (1695536) を追加
  [2015年06月26日]
    ベンダ情報：ヒューレット・パッカード (HPSBUX03235) を追加
    参考情報：関連文書 (MGASA-2014-0524) を追加
  [2015年07月29日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：日本電気 (NV15-008) を追加
  [2015年10月05日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：アップル (APPLE-SA-2015-09-16-4 OS X Server 5.0.3) を追加
    ベンダ情報：アップル (HT205219) を追加
    参考情報：JVN (JVNVU#99970459) を追加
  [2015年10月27日]
    影響を受けるシステム：ベンダ情報の更新に伴い内容を更新