DNS サーバ「BIND」の脆弱性(CVE-2012-1667)に関する注意喚起
2012/6/8 (金) 更新
平素は弊社サービスをご利用いただきましてありがとうございます。
先般より御連絡させていただいておりますDNS サーバソフトウェアの「BIND」の 脆弱性(CVE-2012-1667)について、OS のディストリビュータである Red Hat 社ならびに CentOS Project より 一部の OS において、修正した BIND パッケージが提供されました。
弊社における今後の対応について、以下の通りご案内いたします。
セキュリティアップデート適用対象OS
- Red Hat Enterprise Linux 5
- Red Hat Enterprise Linux 6
- CentOS 5
- CentOS 6
※Red Hat Enterprise Linux 3,4 / CentOS 3,4 についてはベンダサポート終了のた め、セキュリティアップデートが提供されません。
※Red Hat Enterprise Linux 4 有償サポート延長プログラムをご利用のサーバについて、 脆弱性(CVE-2012-1667)は、重要度が Critical に分類されていないため、 セキュリティアップデートが提供されない予定です。
お客様サーバでの対応策
OS のディストリビュータである Red Hat 社ならびに CentOS Project より、一部のOSにおいて 本脆弱性を修正した BIND パッケージが提供されておりますので、BIND パッケージの更新をお勧めいたします。
更新につきましては、お客様にて実施いただく方法と、弊社にて更新作業を代行 させていただく方法とがございます。
※本脆弱性は弊社「サーバソフトウェアの管理ポリシー」の基準には合致いたしませんが、 本脆弱性の影響を受けた場合には、DNS サーバが停止してしまうため、 希望されるお客様を対象に、弊社にて更新作業を実施させていただくことといたしました。
お客様による BIND 9 アップデート方法
お客様にてアップデートを行われる場合には、修正済みパッケージをダウンロー ドいただき、更新作業を実施していただきます。具体的な手順につきましてはお客様による BIND 9 アップデート方法をご参照ください。
https://www.sthark.com/spt/8259/
BIND 9 アップデート依頼方法
アップデート方法がわからないお客様を対象に、弊社にてアップデート作業を 代行いたします。弊社による BIND のアップデート代行を希望されるお客様は、 以下のオンラインフォームに必要事項をご記入ください。
(サーバのIPアドレス等の間違いを防ぐため、メールやお電話によるお申し込みは受け付けることが 出来ませんので、必ずフォームにてご依頼ください。)
なお、弊社にて作業を代行する場合は、DNS キャッシュ機能を無効にする設定も併せて実施させていただきます。あらかじめご了承ください。
https://www.sthark.com/support/contact/securityupdate.php
※作業時間は原則として弊社営業時間内 (平日10時~18時) とさせていただいております。 作業日・作業時間のご指定はいただけませんので、あらかじめご了承ください。なお、 BIND の更新作業中には、数秒程度、名前解決が遅延する場合がございますが、 セカンダリ DNS サーバが動作していれば名前解決自体は可能です。
BIND のバージョン確認
サーバ上の BIND パッケージが脆弱性対応済みのバージョンとなっているかを 確認するには、以下の各 OS 毎のパッケージのバージョン情報をご参照ください。
| Red Hat Enterprise Linux 6 | bind-9.7.3-8.P3.el6_2.3以降 |
| Red Hat Enterprise Linux 5 | bind-9.3.6-20.P1.el5_8.1以降 |
| CentOS6 | bind-9.7.3-8.P3.el6_2.3以降 |
| CentOS5 | bind-9.3.6-20.P1.el5_8.1以降 |
※2012年6月8日現在の情報となります。
DNS サーバ「BIND」の脆弱性(CVE-2012-1667)に関する注意喚起
2012/6/5 (火) 更新
平素は弊社サービスをご利用いただきましてありがとうございます。
このたび、DNS サーバソフトウェアの「BIND」に、リモートから サービスを 停止出来る可能性のある脆弱性が発見されましたため、問題の概要と弊社にお ける対応について、下記の通りご案内いたします。
お客様にはお手数をおかけいたしますが、サービスの安定的な運用を行うため、ご理解・ご協力の程、よろしくお願い申し上げます。
本件につきまして、ご不明な点等ございましたら、本メールの返信にてお問合せください。今後ともクララオンラインをどうぞ宜しくお願い致します。
影響を受けるサーバ
- ご契約サーバ上のバージョンが 9.x 系の DNS サーバ「BIND」を運用しているお客様サーバ (VPS / FPS / Flex Mini / Flex Mini 2 シリーズ / 専用サーバ / 専用サーバ Flex シリーズ / SolaCloud)
以下については、主にお客様サーバに関してご案内いたします。
問題の概要
BIND 9.x には、リモートからをサービスを停止させる脆弱性の問題があります。
BIND が停止した場合、当該サーバを DNS サーバとして利用しているドメイン 名の名前解決に問題が生じます。
DNSサーバの運用種別により影響範囲が異なりますので、それぞれについてご 説明いたします。
| プライマリコンテンツDNSサーバ | ※プライマリコンテンツDNSサーバでは、意図的に特殊なレコードを設定して いなければ、発生いたしません。
プライマリコンテンツDNSサーバでは、ゾーンにおいてRDATAレコード長が 0 のレコードを設定した場合にのみ発生いたします。ただし、通常の利用方法に おいて、レコード長を 0 に設定することはないため、影響は発生しません。 なお、影響は、OS が RHEL6/CentOS6 の環境、および、RHEL5/CentOS5 の環境 で bind97 パッケージに入れ替えて利用している場合が対象となります。 |
| キャッシュサーバ / セカンダリコンテンツDNSサーバ |
弊社でご提供しております DNS サーバを設定変更等をおこなわず運用いただ いている場合は、キャッシュサーバ、および、セカンダリコンテンツ DNS サー バとしては、設定されていないため影響を受けません。
キャッシュサーバ、および、セカンダリコンテンツ DNS サーバとして利用す るように設定を変更されている場合は、以下の詳細情報で影響範囲をご確認く ださい。 |
この脆弱性には、CVE 識別番号として CVE-2012-1667 が割り当てられています。
詳細に関しましては、開発元 ISC 社、JPRS 、および、JPCERT/CC 等の情報をご参照ください。
- 長さ0のrdataによってnamedが異常停止する (ISC)
https://www.isc.org/software/bind/advisories/cve-2012-1667
https://www.isc.org/advisories/cve-2012-1667-jp - (緊急)BIND 9.xの脆弱性(サービス停止を含む)について
– キャッシュ/権威DNSサーバーの双方が対象、バージョンアップを強く推奨 – (JPRS)
http://jprs.jp/tech/security/2012-06-05-bind9-vuln-zero-length-rdata.html - ISC BIND 9 サービス運用妨害の脆弱性に関する注意喚起 (JPCERT/CC)
https://www.jpcert.or.jp/at/2012/at120018.html
対応策
セキュリティパッチの適用
- (1)のサーバに関しましては、OSベンダーよりセキュリティパッチが提供され次第、パッチの適用など対応策を、再度ご案内させていただきます。
- クララオンラインで管理しております各 DNS サーバの影響範囲・メンテナンス 作業の案内については、以下のURLにてご案内いたします。