3月13日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
BIND 9.10.3-P4、9.9.8-P4リリース(2016/03/09)
BIND 9.10.3-P4、9.9.8-P4では、サービス拒否攻撃を許してしまう脆弱性(CVE-2016-1285、CVE-2016-1286、CVE-2016-2088)を解決しています。
脆弱性CVE-2016-1285は、制御チャンネルの入力処理の不具合により、不正なパケットを受信した場合にnamedが異常終了するというものです。BIND 9.2.0以降が稼働するコンテンツサーバー(権威DNSサーバー)とキャッシュDNSサーバーに影響があります。
脆弱性CVE-2016-1286は、DNAMEリソースレコードの署名処理の不具合により、不正な署名レコードを含むDNS応答を受信した場合にBIND 9.0.0以降のnamedが異常終了するというものです。
脆弱性CVE-2016-2088は、DNS cookie処理の不具合により、複数のCOOKIE OPTオプションを含む不正なパケットを受信した場合に、BIND 9.10.0以降のnamedが異常終了するというものです。DNS cookieは、DNSパケットにHTTPと同様のクッキーを加えることで、なりすましや外部からの攻撃を判別しやすくするための機能で、BIND 9.10.0から試験的に実装されたものです。
- ISC:BIND 9 Security Vulnerability Matrix
- ISC:CVE-2016-1285: An error parsing input received by the rndc control channel can cause an assertion failure in sexpr.c or alist.c
- ISC:CVE-2016-1286: A problem parsing resource record signatures for DNAME resource records can lead to an assertion failure in resolver.c or db.c
- ISC:CVE-2016-2088: A response containing multiple DNS cookies causes servers with cookie support enabled to exit with an assertion failure.
- JPRS:BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-1285)~フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、バージョンアップを強く推奨~
- JPRS:BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-1286)~DNSSEC検証を実施していない場合も対象、バージョンアップを強く推奨~
- JPRS:BIND 9.10.xの脆弱性(DNSサービスの停止)について(CVE-2016-2088)~DNS cookie機能を有効にしている場合のみ対象、バージョンアップを強く推奨~