【活用ガイド】

JVNDB-2018-006248

ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性

概要

ISC BIND 9 にはサービス運用妨害 (DoS) の脆弱性が存在します。

"deny-answer-aliases" は、DNS rebinding 攻撃対策として DNS response パケットのフィルタリングを行うための機能です。
初期状態では無効になっており、また、他の手段での DNS rebinding 攻撃対策が難しい場面でのみ使うべきであるとされています。(参考: BIND 9 Administrator's Reference Manual, Chapter 6. BIND 9 Configuration Reference)

"deny-answer-aliases" 機能には欠陥があり、機能が有効化されている場合に name.c において INSIST Assertion Failure が発生する可能性があります。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 7.5 (重要) [JPCERT/CC値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): なし
  • 完全性への影響(I): なし
  • 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 7.8 (危険) [JPCERT/CC値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): なし
  • 完全性への影響(I): なし
  • 可用性への影響(A): 全面的
影響を受けるシステム

次のシステムにおいて "deny-answer-aliases" 機能を有効にしている場合にのみ、本問題の影響を受けます。

ISC, Inc.
  • BIND 9.7.0 から 9.8.8
  • BIND 9.9.0 から 9.9.13
  • BIND 9.10.0 から 9.10.8
  • BIND 9.11.0 から 9.11.4
  • BIND 9.12.0 から 9.12.2
  • BIND 9.13.0 から 9.13.2

想定される影響

"deny-answer-aliases" 機能を有効にしている named において、INSIST Assertion Failure が発生し named が停止する可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。

  * 9.9.13-P1
  * 9.10.8-P1
  * 9.11.4-P1
  * 9.12.2-P1

[ワークアラウンドを実施する]
次のワークアラウンドを実施することで、本脆弱性の影響を回避することが可能です。

  * "deny-answer-aliases" 機能を無効にする
ベンダ情報

ISC, Inc. サイバートラスト株式会社
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 到達可能なアサーション(CWE-617) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2018-5740
参考情報

  1. JVN : JVNVU#91290141
  2. National Vulnerability Database (NVD) : CVE-2018-5740
  3. JPCERT 緊急報告 : JPCERT-AT-2018-0031
  4. JPRS : BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2018-5740) 
更新履歴

  • [2018年08月14日]
      掲載
  • [2018年10月19日]
      ベンダ情報:サイバートラスト株式会社 (サイバートラスト株式会社 の告知ページ) を追加
  • [2019年09月26日]
      参考情報:National Vulnerability Database (NVD) (CVE-2018-5740) を追加