JVNDB-2009-001951

JVNDB-2009-001951
ISC BIND 9 におけるサービス運用妨害 (DoS) の脆弱性
概要
Internet Systems Consortium (ISC) が提供する BIND 9 には、サービス運用妨害 (DoS) の脆弱性が存在します。 Berkeley Internet Name Domain (BIND) は ISC が提供する Domain Name System (DNS) の実装であり、RFC 2136 で規定されている dynamic DNS updates をサポートしています。BIND 9 には、細工された dynamic update パケットを処理する際に、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。ISC によると、dynamic update の設定をされていないサーバでも本脆弱性の影響を受ける可能性があるとしています。詳しくは ISC が提供する情報をご確認ください。 2009年7月31日、日本国内での本脆弱性に対する攻撃活動が報告されました。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 4.3 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): なし可用性への影響(A): 部分的
影響を受けるシステム

IBM IBM AIX 5.3 IBM AIX 6.1 ISC, Inc. BIND 9 すべてのバージョンアップル Apple Mac OS X v10.4.11 Apple Mac OS X v10.5.8 Apple Mac OS X Server v10.4.11 Apple Mac OS X Server v10.5.8 サン・マイクロシステムズ OpenSolaris (sparc) OpenSolaris (x86) Sun Solaris 10 (sparc) Sun Solaris 10 (x86) Sun Solaris 8 (sparc) Sun Solaris 8 (x86) Sun Solaris 9 (sparc) Sun Solaris 9 (x86) ターボリナックス Turbolinux Appliance Server 2.0 Turbolinux Client 2008 Turbolinux Server 10 Turbolinux Server 10 (x64) Turbolinux Server 11 Turbolinux Server 11 (x64) トレンドマイクロ InterScan Messaging Security Suite 7.x ヒューレット・パッカード HP Tru64 UNIX v 5.1B-5 HP Tru64 UNIX v 5.1B-4 HP-UX 11.11 HP-UX 11.23 HP-UX 11.31 ミラクル・リナックス Asianux Server 3.0 Asianux Server 3.0 (x86-64) Asianux Server 4.0 Asianux Server 4.0 (x86-64) レッドハット Red Hat Enterprise Linux 5 (server) Red Hat Enterprise Linux 3 (as) Red Hat Enterprise Linux 4 (as) Red Hat Enterprise Linux 4.8 (as) Red Hat Enterprise Linux 3 (es) Red Hat Enterprise Linux 4 (es) Red Hat Enterprise Linux 4.8 (es) Red Hat Enterprise Linux 3 (ws) Red Hat Enterprise Linux 4 (ws) Red Hat Enterprise Linux Desktop 3.0 Red Hat Enterprise Linux Desktop 4.0 Red Hat Enterprise Linux Desktop 5.0 (client) Red Hat Enterprise Linux EUS 5.3.z (server) RHEL Desktop Workstation 5 (client)

想定される影響
遠隔の第三者により、細工された dynamic update パケットを送られることで、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。
対策
[アップデートする] 該当製品を使用しているユーザは、ベンダが提供するアップデートを適用してください。または、ISC が提供する情報をもとに最新版へアップデートしてください。詳しくは ISC が提供する情報をご確認ください。
ベンダ情報
IBM IBM Support Document : 4750 ISC, Inc. ISC BIND : 474 アップル Apple Security Updates : HT3776 Apple セキュリティアップデート : HT3776 サン・マイクロシステムズ Sun Alert Notification : 264828 ターボリナックス Turbolinux Security Advisory (英語) : TLSA-2009-22 製品セキュリティ情報 : TLSA-2009-22 トレンドマイクロ Trend Micro ReadMe Documentation : imss_70_Sol32_en_criticalpatch81550 Trend Micro ReadMe Documentation : imss_70_lx32_en_criticalpatch33700 Trend Micro ReadMe Documentation : imss_70_win32_en_sp1_patch3_63520_r1_Readme Trend Micro ReadMe Documentation : imss_71_lx32_en_criticalpatch12471_readme ヒューレット・パッカード HP Security Bulletin : HPSBUX02451 HP Security Bulletin : HPSBTU02453 ミラクル・リナックス MIRACLE LINUX アップデート情報 : 1755 レッドハット Red Hat Security Advisory : RHSA-2009:1179 Red Hat Security Advisory : RHSA-2009:1180 Red Hat Security Advisory : RHSA-2009:1181 レッドハットセキュリティーアップデート : RHSA-2009:1179 レッドハットセキュリティーアップデート : RHSA-2009:1180 レッドハットセキュリティーアップデート : RHSA-2009:1181 富士通富士通セキュリティ情報 : VU#725188
CWEによる脆弱性タイプ一覧 CWEとは?
環境設定(CWE-16) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2009-0696
参考情報
JVN : JVNVU#725188 National Vulnerability Database (NVD) : CVE-2009-0696 JPCERT 緊急報告 : JPCERT-AT-2009-0016 US-CERT Vulnerability Note : VU#725188 IPA 緊急対策情報 : 20090731-bind Secunia Advisory : SA36192 Secunia Advisory : SA36086 Secunia Advisory : SA36038 SecurityFocus : 35848 SecurityTracker : 1022613 VUPEN Security : VUPEN/ADV-2009-2171 VUPEN Security : VUPEN/ADV-2009-2088 VUPEN Security : VUPEN/ADV-2009-2036 IETF : RFC 2136
更新履歴
[2009年09月01日] 掲載 [2009年09月30日] ベンダ情報: トレンドマイクロ (imss_70_win32_en_sp1_patch3_63520_r1_Readme) を追加ベンダ情報: トレンドマイクロ (imss_71_lx32_en_criticalpatch12471_readme) を追加


公表日	2009/07/29
登録日	2009/09/01
最終更新日	2009/09/30

ISC BIND 9 におけるサービス運用妨害 (DoS) の脆弱性