2017年1月11日(米国時間)、ISC より named に対してサービス不能攻撃が可能な脆弱性「CVE-2016-9778, CVE-2016-9444, CVE-2016-9147, CVE-2016-9131」が公表されました。
○CVE-2016-9778
nxdomain-redirect 機能を使用した場合のクエリ処理に関する脆弱性。
本脆弱性の対象バージョンは以下です。
(9.9.8-S1 -> 9.9.8-S3, 9.9.9-S1 -> 9.9.9-S6, 9.11.0-9.11.0 -> P1)
nxdomain-redirectを指定している場合のみ影響します。
○CVE-2016-9444
異常な形式のDSレコード応答の処理に関する脆弱性。
本脆弱性の対象バージョンは以下です。
(9.6-ESV-R9 -> 9.6-ESV-R11-W1, 9.8.5 -> 9.8.8, 9.9.3 -> 9.9.9-P4,
9.9.9-S1 -> 9.9.9-S6, 9.10.0 -> 9.10.4-P4, 9.11.0 -> 9.11.0-P1)
○CVE-2016-9147
矛盾した DNSSEC 情報を含むクエリ応答の処理に関する脆弱性。
本脆弱性の対象バージョンは以下です。
(9.9.9-P4, 9.9.9-S6, 9.10.4-P4, 9.11.0-P1)
○CVE-2016-9131
任意のクエリに対しての応答処理に関する脆弱性。
本脆弱性の対象バージョンは以下です。
(9.4.0 -> 9.6-ESV-R11-W1, 9.8.5 -> 9.8.8, 9.9.3 -> 9.9.9-P4,
9.9.9-S1 -> 9.9.9-S6, 9.10.0 -> 9.10.4-P4, 9.11.0 -> 9.11.0-P1)
ISCでは、上記の脆弱性への対応で、以下のバージョンをリリースしています。
・BIND 9 version 9.9.9-P5
・BIND 9 version 9.10.4-P5
・BIND 9 version 9.11.0-P2
CVE-2016-9444、CVE-2016-9131の2つは 9.8 以前のバージョンも
影響をうけますが、ISC では 9.8 以前の BIND 9 のサポートを
終了しており、修正リリースは上記3バージョンです。
詳細については、関連情報を参照してください。