【活用ガイド】

JVNDB-2012-004866

ISC BIND におけるサービス運用妨害 (named デーモンハング) の脆弱性

概要

ISC BIND には、サービス運用妨害 (named デーモンハング) 状態となる脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 7.8 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): なし
  • 完全性への影響(I): なし
  • 可用性への影響(A): 全面的
影響を受けるシステム


ISC, Inc.
  • BIND 9.2.x から 9.6.x
  • BIND 9.4-ESV から 9.4-ESV-R5-P1
  • BIND 9.6-ESV から 9.6-ESV-R7-P3
  • BIND 9.7.0 から 9.7.6-P3
  • BIND 9.8.0 から 9.8.3-P3
  • BIND 9.9.0 から 9.9.1-P3
アップル
  • Apple Mac OS X v10.7.5
  • Apple Mac OS X v10.8 から v10.8.4
  • Apple Mac OS X Server v10.7.5

想定される影響

第三者により、不特定の組み合わせのリソースレコードを介して、サービス運用妨害 (named デーモンハング) 状態にされる可能性があります。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報

Debian
  • Debian セキュリティ勧告 : DSA-2560
Fedora Project IBM ISC, Inc. openSUSE project Xerox アップル オラクル レッドハット
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 数値処理の問題(CWE-189) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2012-5166
参考情報

  1. National Vulnerability Database (NVD) : CVE-2012-5166
  2. JPCERT 注意喚起 : JPCERT-AT-2012-0033
  3. JPRS : (緊急)BIND 9.xの脆弱性(サービス停止)について(2012年10月10日公開)
更新履歴

  • [2012年10月12日]
      掲載
    [2012年10月26日]
      ベンダ情報:オラクル (CVE-2012-5166 Denial of Service vulnerability in ISC BIND) を追加
    [2012年11月26日]
      ベンダ情報:レッドハット (RHSA-2012:1364) を追加
      ベンダ情報:レッドハット (RHSA-2012:1365) を追加
      ベンダ情報:Fedora Project (FEDORA-2012-15981) を追加
      ベンダ情報:Fedora Project (FEDORA-2012-16022) を追加
    [2012年12月07日]
      ベンダ情報:openSUSE (openSUSE-SU-2012:1372) を追加
      ベンダ情報:openSUSE (SUSE-SU-2012:1390) を追加
    [2013年06月05日]
      ベンダ情報:Xerox (XRX13-003) を追加
      ベンダ情報:IBM (IV30247) を追加
      ベンダ情報:IBM (IV30364) を追加
      ベンダ情報:IBM (IV30365) を追加
      ベンダ情報:IBM (IV30366) を追加
      ベンダ情報:IBM (IV30367) を追加
      ベンダ情報:IBM (IV30368) を追加
      ベンダ情報:Debian (DSA-2560) を追加
      ベンダ情報:レッドハット (RHSA-2012:1363) を追加
      ベンダ情報:Fedora Project (FEDORA-2012-15965) を追加
    [2013年09月30日]
      影響を受けるシステム:アップル (HT5880) の情報を追加
      ベンダ情報:アップル (HT5880) を追加
      ベンダ情報:アップル (APPLE-SA-2013-09-12-1) を追加