at+linkからのお知らせ

2015.07.30

(2015/8/7 更新) BIND 9.x DNSサービス運用妨害の脆弱性（CVE-2015-5477）について

いつもご利用いただき、誠にありがとうございます。

BIND 9.x における実装上の不具合により、namedに対する外部からのサービス運用妨害（DoS）攻撃が可能となる脆弱性が、開発元のISCから発表されました。
本脆弱性には CVE-2015-5477 が割り当てられています。

【概要】

BIND 9.x には TKEY リソースレコード（RR）の取り扱いに不具合があり、TKEY RR に対する特別に作成された問い合わせにより、namedが異常終了を起こす障害が発生します。

※ 本脆弱性によりnamedが異常終了した場合、"REQUIRE" assertion failure を引き起こした旨のメッセージがログに出力されます。
※ TKEY の機能を使用していない場合も、本脆弱性の対象となります。

本脆弱性により、リモートからDNSサービスの停止が発生する可能性があります。
詳細は下記を参照下さい。

□影響を受けるバージョン

BIND 9.1.0以降のすべてのバージョンのBIND 9が該当します。当サービスで提供している RHEL や CentOS も対象となります。

□解決策

BIND 9 で影響を受けるバージョンをお使いの場合はアップデートする必要があります。本脆弱を修正したパッケージへ速やかにアップデートを実施して下さい。
尚、named の設定ファイル（named.conf）等での設定オプションでは回避出来ません。本脆弱性のその他の回避策もありません。

◆ RHEL

RHEL5 および RHEL6 では、修正パッケージが提供されています。
修正後のバージョンは下記の通りです。

OS の自動アップデートが有効となっているサーバは、順次アップデートが実施されます。

※ RHEL 6.7 リリースに伴い RHEL 6 向けのアップデートを停止しておりましたが、本日（2015/07/30）再開致しました。

◆CentOS

CentOS 5/6 ともに修正パッケージが提供されています。
修正後のバージョンは下記の通りです。

CentOS は自動アップデート対象とはなっておりませんので、バージョンをご確認の上、影響を受けるバージョンの場合は手動によるアップデートが必要となります。

□確認方法およびアップデート方法

RHEL や CentOS では、rpm にて bind がインストールされています。
現在のパッケージバージョンは下記で確認が可能です。

# rpm -q bind

サーバにて OS 標準の bind を利用している場合、上記バージョンより古いものはアップデート対象となります。アップデートは下記コマンドで実施可能です。

# yum update bind

bind だけでなく、すべてのパッケージにてアップデートを行う場合は次のように実施します。
※ この場合、多数のパッケージがアップデートされますので、ご注意ください。

# yum update

次のコマンドを実施し、アップデート対象となるパッケージが問題ないものか確認の上実施下さい。

# yum list updates

または

# yum check-update

※ アップデート対象が存在しない場合は、下記コマンドを実施後、再度アップデート対象があるか確認してください。

# yum clean all

RHEL 4 以前のOS（所謂 Linux 系のレガシー OS ）では、修正は提供されません。OSアップグレードを検討下さい。

※ 当サービスでの作業が必要な場合は有償にて実施させていただきます。