JVNDB-2016-005484
|
ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性
|
ISC BIND 9 にはサービス運用妨害 (DoS) の脆弱性が存在します。
ISC BIND には、細工したオプション情報を含むパケットによって assertion failture (表明違反) が引き起こされる脆弱性が存在します。
ISC では、2013年5月にリリースされたバージョンでこの脆弱性への対応を行っており (#3548)、現在 ISC が提供しているバージョンの BIND は本脆弱性の影響を受けません。
#3548 の修正適用より前の時点のソースコードを取り込んで独自にメンテナンスされている製品では、本脆弱性の修正が行われていない可能性があります。
|
CVSS v3 による深刻度 基本値: 7.5 (重要) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): なし
- 完全性への影響(I): なし
- 可用性への影響(A): 高
CVSS v2 による深刻度 基本値: 5.0 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): なし
- 完全性への影響(I): なし
- 可用性への影響(A): 部分的
|
|
ISC, Inc.
- BIND 9.1.0 から 9.8.4-P2 まで
- BIND 9.9.0 から 9.9.2-P2 まで
|
BIND を取り込んで独自にメンテナンスされている製品は、これらのバージョンに関わらず影響を受ける可能性があります。詳しくは製品の提供元が提供する情報をご確認ください。
|
細工されたパケットを処理することで、assertion failure (表明違反) によって当該製品が異常終了させられる可能性があります。権威サーバおよびキャッシュサーバのいずれも本脆弱性の影響を受けます。
|
[アップデートする]
2013年5月より前にリリースされたバージョンを取り込んで独自にメンテナンスされている製品は、本脆弱性の影響を受ける可能性があります。
BIND のソースコードと共に配布されている CHANGES ファイルをご確認ください。#3548 の修正が取り込まれている製品は、本脆弱性の影響を受けません。
CHANGES ファイルを確認できない場合は、その製品の提供元にお問い合わせください。
ISC がリリースしている BIND では、本脆弱性は 2013年5月にリリースされたバージョンで修正されています。
現在 ISC がサポートしている次のバージョンには、本脆弱性は存在しません。
* BIND 9 version 9.9.9-P3
* BIND 9 version 9.10.4-P3
* BIND 9 version 9.11.0
なお、BIND 9 Supported Preview 版は ISC サポートの対象である特定顧客にのみ提供されているものです。また BIND 9 Supported Preview 版は、本脆弱性の影響を受けません。
詳しくは、ISC が提供する情報をご確認ください。
ISC が提供する情報
https://kb.isc.org/article/AA-01433
|
ISC, Inc.
レッドハット
|
- 不適切な入力確認(CWE-20) [NVD評価]
|
- CVE-2016-2848
|
- JVN : JVNVU#95603997
- National Vulnerability Database (NVD) : CVE-2016-2848
- JPRS : (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-2848)
- JPNIC : BIND 9における不正なパケットによるサーバ停止の脆弱性について(2016年10月)
|
- [2016年10月21日]
掲載
[2016年10月24日]
CVSS による深刻度:内容を更新
ベンダ情報:ISC, Inc. (3548. [bug] The NSID request code in resolver.c was broken) を追加
ベンダ情報:レッドハット (Bug 1385450) を追加
CWE による脆弱性タイプ一覧:CWE-ID を追加
参考情報:National Vulnerability Database (NVD) (CVE-2016-2848) を追加
|