■概要
BIND脆弱性(CVE-2017-3142、CVE-2017-3143)には、Express5800/MW、InterSec/MW、
InterSecVM/MWに影響を与えるものが含まれています。
本脆弱性により、悪意を持つ第三者からゾーンデータを操作される可能性および悪意を
持つ第三者にゾーンデータが流出する可能性があります。
■対処方法
脆弱性に対処するために、■関連情報にあるリンク『【Express5800/MW, InterSec/MW,
InterSecVM/MW】BIND脆弱性に対処したパッケージの個別提供』で提供するパッケージへ
アップデートしてください。
※パッケージについて今後更新される可能性もありますことにあらかじめご留意ください。
■詳細
本脆弱性は、namedにおいてTSIGによるアクセス制限を有効にしている場合にのみ
対象となります。有効にしている場合、ゾーンの内容が操作され偽サイトへのアクセス
の誘導、電子メールの盗難などに、悪用される可能性があります。
・CVE-2017-3142
ゾーンに対しTSIGによるアクセス制限が設定されており、かつ、有効なTSIG鍵の
名前が既知であった場合において、TSIG認証を迂回できる可能性があります。
第三者により、許可されていない受信者に対するゾーン転送(AXFR)の提供や、
不正なDNS NOTIFYパケットの受け付けが可能となる恐れがあります。
本脆弱性の詳細はJPRSの以下のリンク先を参照してください。
https://jprs.jp/tech/security/2017-06-30-bind9-vuln-circumvent-tsig-auth-axfr.html
⇒「■BIND 9.xの脆弱性(TSIG認証の迂回によるゾーンデータの流出)について
(CVE-2017-3142)」
・CVE-2017-3143
ゾーンに対しTSIGによるアクセス制限が設定されており、かつ、有効なTSIG鍵の
名前が既知であった場合において、TSIG認証を迂回できる可能性があります。
このため、アクセスコントロールリスト(ACL)にTSIGによるアクセス制限が
設定されており、かつ、TSIG以外の制限が設定されていなかった場合、悪意を持つ
第三者がリモートからのDynamic Update経由で、ゾーンの内容を操作される可能性が
あります。
本脆弱性の詳細はJPRSの以下のリンク先を参照してください。
https://jprs.jp/tech/security/2017-06-30-bind9-vuln-circumvent-tsig-auth-dynamic-update.html
⇒「■(緊急)BIND 9.xの脆弱性(TSIG認証の迂回によるゾーンデータの操作)について
(CVE-2017-3143)」
各脆弱性の影響有無については以下を参照下さい。
| CVE |
InterSec/MW400 |
Express5800 |
InterSecVM/MW |
| MW400j |
MW400i2 |
MW400i |
MW400h2 |
MW400h |
4.0 |
3.0 |
2.1 |
2.0 |
1.0 |
| CVE-2017-3142 |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
× |
| CVE-2017-3143 |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
× |
※ 「○」は影響あり、「×」は影響なしとなります。
■脆弱性の影響を受ける設定の確認方法
本脆弱性は、namedにおいてTSIGによるアクセス制限を有効にしており、かつ、有効な
TSIG鍵の指定がある場合に対象となります。有効にしている場合の設定例を示しますので
確認してください。
Management Console(システム管理者)画面において、
サービス > ネームサーバ(named) > named.confの直接編集の画面で確認します。
・CVE-2017-3142
zoneステートメントにおけるallow-transferの指定において、key 指定(★箇所)を
行っているかの確認を行ってください。以下、例を示します
------------------------------------------
zone "example.jp" {
type master;
file "example.zone";
allow-transfer{
key [キー名]; ★
[IPアドレス];
};
};
------------------------------------------
・CVE-2017-3143の場合
zoneステートメントにおけるallow-updateの指定において、key 指定(★箇所)を
行っているかの確認を行ってください。以下、例を示します
------------------------------------------
zone "example.jp" {
type master;
file "example.zone";
allow-update{
key [キー名]; ★
[IPアドレス];
};
};
------------------------------------------
■脆弱性の影響を受けるサービス
・BIND脆弱性の影響を受けるサービス
- ネームサーバ(named)サービス
以下のオプションにおけるDNS関連機能も影響の範囲に含まれます。
- Express5800/MW DNS/DHCP強化オプション
- InterSec/MW DNS/DHCP強化オプション
- InterSecVM/MW DNS/DHCP強化ライセンス
■脆弱性の影響を受けないサービス
以下のサービスは本脆弱性の影響を受けません。
- メールコントローラ(MWMCTL)
- メールサーバ(sendmail) / メールサーバ(postfix)
- メールサーバ(popd/imapd) / メールサーバ(dovecot)
- Webサーバ(httpd)
- WEBMAIL-Xサーバ(webmail-httpd)
- リモートシェル(sshd)/リモートログイン(telnetd)
- DHCPサーバ(dhcpd)
- ファイル転送(ftpd)
- UNIXファイル共有(nfsd)
- Windowsファイル共有(smbd)
- 時刻調整(ntpd)
- ネットワーク管理エージェント(snmpd)
- サーバ管理エージェント(wbmcmsvd)
- ファイル転送(vsftpd)
- システム監視(MW_MONITOR)
- サービス監視(chksvc)
- ディレクトリサーバ(openldap)
- 二重化機能(二重化構成構築キット、二重化構成構築ライセンス)
CLUSTERPRO Xが動作していますが、本脆弱性の影響はありません。
(※ご利用の製品によっては提供していないサービスもあります)
■想定される影響
悪意を持つ第三者から、ゾーンデータを操作される可能性および悪意を持つ
第三者にゾーンデータが流出する可能性があります。
Express5800/MW400h
Express5800/R110d-1M(MW400h2)
InterSec/MW400i
InterSec/MW400i2
InterSec/MW400j
InterSecVM/MW V1.0
InterSecVM/MW V2.0 for VMware
InterSecVM/MW V2.0 for Hyper-V
InterSecVM/MW V2.1 for Hyper-V
InterSecVM/MW V3.0 for VMware
InterSecVM/MW V3.0 for Hyper-V
InterSecVM/MW V4.0 for VMware
InterSecVM/MW V4.0 for Hyper-V
・以下のオプションソフトウェアは、脆弱性の影響を受けません。
Express5800/MW 全メール保存ライセンス
Express5800/MW WEBMAIL-X(by WitchyMail)同時接続ライセンス
Express5800/MW 二重化構成構築キット
InterSec/MW 全メール保存ライセンス
InterSec/MW WEBMAIL-X(by WitchyMail)同時接続ライセンス
InterSec/MW 二重化構成構築キット
InterSecVM/MW 全メール保存ライセンス
InterSecVM/MW WEBMAIL-X同時接続ライセンス
InterSecVM/MW 二重化構成構築ライセンス