JVNDB-2010-002544

ISC BIND named validator に脆弱性

Internet Systems Consortium (ISC) が提供する BIND named には、特定の状況下で、ゾーンデータの状態を insecure としてしまう脆弱性が存在します。

ISC から以下の脆弱性情報が公開されています。

ISC named, acting as a DNSSEC validator, was determining if an NS RRset is insecure based on a value that could mean either that the RRset is actually insecure or that there wasn't a matching key for the RRSIG in the DNSKEY RRset when resuming from validating the DNSKEY RRset. This can happen when in the middle of a DNSKEY algorithm rollover, when two different algorithms were used to sign a zone but only the new set of keys are in the zone DNSKEY RRset.

IBM

• IBM AIX 5.3 
• IBM AIX 6.1 
• IBM AIX 7.1 

ISC, Inc.

• BIND 9.0.x から 9.7.2-P2 まで
• BIND 9.4-ESV から 9.4-ESV-R3 まで
• BIND 9.6-ESV から 9.6-ESV-R2 まで

VMware

• VMware ESX 4.1
• VMware ESX 4.0
• VMware ESX 3.5
• VMware ESX 3.0.3
• VMware ESXi

オラクル

• Oracle Solaris 10 
• Oracle Solaris 11 Express
• Oracle Solaris 8 
• Oracle Solaris 9 

ミラクル・リナックス

• Asianux Server 3 (x86) 
• Asianux Server 3 (x86-64) 

レッドハット

• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux Desktop 6 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• Red Hat Enterprise Linux HPC Node 6 
• Red Hat Enterprise Linux Server 6 
• Red Hat Enterprise Linux Workstation 6 
• RHEL Desktop Workstation 5 (client) 

ゾーンデータの状態を insecure としてしまう可能性があります。

[アップデートする]
この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョンに更新することで解決します。詳細については、ベンダや配布元が提供する情報を参照してください。

IBM

• IBM SECURITY ADVISORY : bind9_advisory2.asc

ISC, Inc.

• Internet Systems Consortium Security Advisory : Guidance regarding Dec 1st 2010 Security Advisories (CVE-2010-3614)
• ISC BIND : BIND-9.7.2-P3 Release Note
• ISC BIND : BIND-9.6.2-P3 Release Note
• ISC BIND : BIND-9.6-ESV-R3 Release Note
• ISC BIND : cve-2010-3614
• ISC BIND : BIND-9.4-ESV-R4 Release Note

VMware

• VMware Security Advisories : VMSA-2011-0004

オラクル

• SECURITY BLOG : multiple_vulnerabilities_in_bind_dns

ミラクル・リナックス

• Asianux Technical Support Network : bind-9.3.6-4.P1.3.0.1.AXS3

レッドハット

• Red Hat Security Advisory : RHSA-2010:0975
• Red Hat Security Advisory : RHSA-2010:0976

1. その他(CWE-Other) [NVD評価]

1. CVE-2010-3614

1. JVN : JVNVU#837744
2. National Vulnerability Database (NVD) : CVE-2010-3614
3. US-CERT Vulnerability Note : VU#837744
4. Secunia Advisory : SA42435
5. SecurityFocus : 45137
6. SecurityTracker : 1024817
7. VUPEN Security : VUPEN/ADV-2010-3102
8. OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 69559

• [2010年12月24日]
    掲載
  [2011年03月28日]
    影響を受けるシステム：VMware (VMSA-2011-0004) の情報を追加
    ベンダ情報：VMware (VMSA-2011-0004) を追加
  [2011年04月05日]
    影響を受けるシステム：オラクル (multiple_vulnerabilities_in_bind_dns) の情報を追加
    ベンダ情報：オラクル (multiple_vulnerabilities_in_bind_dns) を追加
  [2011年07月27日]
    影響を受けるシステム：IBM (bind9_advisory2.asc) の情報を追加
    ベンダ情報：IBM (bind9_advisory2.asc) を追加