■概要
BIND脆弱性(CVE-2017-3136,CVE-2017-3137,CVE-2017-3138)には、Express5800/MW,
InterSec/MW, InterSecVM/MWに影響を与えるものが含まれています。
脆弱性を回避するために下記の対処を行ってください。
本脆弱性により、DNSサービスの停止が発生する可能性があります。
■対処方法
本脆弱性に対して回避策ができない場合は、[■対処方法]にある、関連情報
のリンク『【Express5800/MW, InterSec/MW, InterSecVM/MW】 BIND脆弱性に
対処したパッケージの個別提供』で提供するパッケージへアップデートして
ください。
※今後更新される可能性もありますことに予めご留意ください。
■詳細
・CVE-2017-3136
MW(DNSサーバ)の既定状態では本脆弱性の影響はありません。
ただし、以下の設定を行われている場合はDNSサーバが異常終了する脆弱性があります。
- "break-dnssec yes;"オプションを設定しDNS64を有効にしている場合。
「Management Console(システム管理者) > サービス > DNSサーバ > named.confの
直接編集」において、、"break-dnssec yes;"の指定がある場合、対象となります。
※ DNS64は、AレコードからAAAAレコードを合成するための仕組みです。
本脆弱性の詳細はJPRSの以下のリンク先を参照してください。
https://jprs.jp/tech/security/2017-04-13-bind9-vuln-dns64.html
⇒「■BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3136)」
・CVE-2017-3137
MW(DNSサーバ)を以下の様な運用、設定を行っている場合本脆弱性の影響があります。
CNAMEまたはDNAMEレコードが含まれる応答のanswer secion内のレコード
の順序が異常であった場合、namedが異常終了を起こす障害が発生します。
- DNSキャッシュサーバとして運用している場合
- 権威DNSサーバとして運用している、かつ権威ゾーンに以下のオプション設定を
行っていない場合
"notify no;" または "notify explicit;"
以下の設定を行うことで本脆弱性を回避することができます。
-「サービス > DNSサーバ > ゾーンの編集」画面「その他オプション」に
"notify no;" または "notify explicit;" を設定します。
本脆弱性の詳細はJPRSの以下のリンク先を参照してください。
https://jprs.jp/tech/security/2017-04-13-bind9-vuln-cname-dname.html
⇒「■(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3137)」
・CVE-2017-3138
MW(DNSサーバ)のコントロールチャンネル設定を変更されている場合、本脆弱性の
影響を受ける可能性があります。
コントロールチャンネル設定の既定設定は以下の通りです。
-----
controls {
inet 127.0.0.1 allow { localhost; } keys { rndc-key; };
};
-----
この設定を変更されている場合、rndc-key鍵の内容が漏えいすると、
SSHログインまたはコンソールから直接ログイン可能なユーザから攻撃を受ける
可能性があります。
本脆弱性の詳細はJPRSの以下のリンク先を参照してください。
https://jprs.jp/tech/security/2017-04-13-bind9-vuln-control-channel.html
⇒「■BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3138)」
各脆弱性の影響有無については以下を参照下さい。
| CVE |
InterSec/MW400 |
Express5800 |
InterSecVM/MW |
| MW400j |
MW400i2 |
MW400i |
MW400h2 |
MW400h |
4.0 |
3.0 |
2.1 |
2.0 |
1.0 |
| CVE-2017-3136 |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
× |
| CVE-2017-3137 |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
△ |
| CVE-2017-3138 |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
× |
※ 「○」は影響あり、「×」は影響なし、「△」はOS供給元からのパッケージ提供待ちと
なります。
■脆弱性の影響を受けるサービス
・BIND脆弱性の影響を受けるサービス
- ネームサーバ(named)サービス
以下のオプションにおけるDNS関連機能も影響の範囲に含まれます。
- Express5800/MW DNS/DHCP強化オプション
- InterSec/MW DNS/DHCP強化オプション
- InterSecVM/MW DNS/DHCP強化ライセンス
■脆弱性の影響を受けないサービス
以下のサービスは本脆弱性の影響を受けません。
- メールコントローラ(MWMCTL)
- メールサーバ(sendmail) / メールサーバ(postfix)
- メールサーバ(popd/imapd) / メールサーバ(dovecot)
- Webサーバ(httpd)
- WEBMAIL-Xサーバ(webmail-httpd)
- リモートシェル(sshd)/リモートログイン(telnetd)
- DHCPサーバ(dhcpd)
- ファイル転送(ftpd)
- UNIXファイル共有(nfsd)
- Windowsファイル共有(smbd)
- 時刻調整(ntpd)
- ネットワーク管理エージェント(snmpd)
- サーバ管理エージェント(wbmcmsvd)
- ファイル転送(vsftpd)
- システム監視(MW_MONITOR)
- サービス監視(chksvc)
- ディレクトリサーバ(openldap)
- 二重化機能(二重化構成構築キット、二重化構成構築ライセンス)
CLUSTERPRO Xが動作していますが、本脆弱性の影響はありません。
(※ご利用の製品によっては提供していないサービスもあります)
■想定される影響
遠隔の第三者によって、DNSサービスの運用妨害 (DoS) 状態 (named の停止) に
される可能性があります。
Express5800/MW400h
Express5800/R110d-1M(MW400h2)
InterSec/MW400i
InterSec/MW400i2
InterSec/MW400j
InterSecVM/MW V1.0
InterSecVM/MW V2.0 for VMware
InterSecVM/MW V2.0 for Hyper-V
InterSecVM/MW V2.1 for Hyper-V
InterSecVM/MW V3.0 for VMware
InterSecVM/MW V3.0 for Hyper-V
InterSecVM/MW V4.0 for VMware
InterSecVM/MW V4.0 for Hyper-V
・以下のオプションソフトウェアは、脆弱性の影響を受けません。
Express5800/MW 全メール保存ライセンス
Express5800/MW WEBMAIL-EXT 100Uライセンス
Express5800/MW WEBMAIL-X(by WitchyMail)同時接続ライセンス
Express5800/MW 二重化構成構築キット
InterSec/MW 全メール保存ライセンス
InterSec/MW WEBMAIL-X(by WitchyMail)同時接続ライセンス
InterSec/MW 二重化構成構築キット
InterSecVM/MW 全メール保存ライセンス
InterSecVM/MW WEBMAIL-X同時接続ライセンス
InterSecVM/MW 二重化構成構築ライセンス