■影響
BIND脆弱性(CVE-2017-3145)は、Express5800/MW、InterSec/MW、InterSecVM/MW
に影響があります。
本脆弱性により、遠隔の第三者からのDoS攻撃(運用妨害攻撃)をうけた場合、
ネームサーバ(named)サービスが停止させられる可能性があります。
本脆弱性に対して以下の対処を行ってください。
■対処方法
[■関連情報]の関連情報のリンク『【Express5800/MW, InterSec/MW, InterSecVM/MW】
BIND脆弱性に対処したパッケージの個別提供』で提供するパッケージへアップデート
してください。
アップデートパッケージの適用までの回避策として「■アップデートパッケージ
の適用までの回避策」の実施を検討してください。
■詳細
・CVE-2017-3145
本脆弱性は、DNSSEC 検証を有効としているDNSサーバにおいて、再帰検索
におけるクリーンアップ処理に問題があり、解放されたメモリへの参照が
発生しnamedプロセスが停止する問題です。
本脆弱性の詳細はJPCERTの以下のリンク先を参照下さい。
http://www.jpcert.or.jp/at/2018/at180005.html
⇒「ISC BIND 9 の脆弱性に関する注意喚起」
脆弱性の影響有無については以下を参照下さい。
| CVE |
InterSec/MW400 |
Express5800 |
InterSecVM/MW |
| MW400k |
MW400j |
MW400i2 |
MW400i |
MW400h2 |
5.0 |
4.0 |
3.0 |
2.1 |
2.0 |
| CVE-2017-3145 |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
※ 「○」は影響ありです。
■脆弱性の影響を受けるサービス
・BIND脆弱性の影響を受けるサービス
- ネームサーバ(named)サービス
以下のオプションにおけるDNS関連機能も影響の範囲に含まれます。
- Express5800/MW DNS/DHCP強化オプション
- InterSec/MW DNS/DHCP強化オプション
- InterSecVM/MW DNS/DHCP強化ライセンス
■脆弱性の影響を受けないサービス
以下のサービスは本脆弱性の影響を受けません。
- メールコントローラ(MWMCTL)
- メールサーバ(sendmail) / メールサーバ(postfix)
- メールサーバ(popd/imapd) / メールサーバ(dovecot)
- Webサーバ(httpd)
- WEBMAIL-Xサーバ(webmail-httpd)
- リモートシェル(sshd)
- リモートログイン(telnetd)
- DHCPサーバ(dhcpd)
- ファイル転送(ftpd)
- UNIXファイル共有(nfsd)
- Windowsファイル共有(smbd)
- 時刻調整(ntpd)
- ネットワーク管理エージェント(snmpd)
- サーバ管理エージェント(wbmcmsvd)
- ファイル転送(vsftpd)
- システム監視(MW_MONITOR)
- サービス監視(chksvc)
- ディレクトリサーバ(openldap)
- 二重化機能(二重化構成構築キット、二重化構成構築ライセンス)
CLUSTERPRO Xが動作していますが、本脆弱性の影響はありません。
(※ご利用の製品によっては提供していないサービスもあります)
■アップデートパッケージの適用までの回避策
「DNSSECの検証を無効化する」ことにより、本脆弱性を回避することができます。
・DNSSECの検証を無効化する
以下の設定を行うことで、DNSSECの検証を無効化できます。
1)ManagementConsole(システム管理者)「サービス>ネームサーバ(named)」
画面を開いてください。
2)「■ DNSサーバの設定」の[named.confの直接編集]ボタンをクリックし、
「直接編集」画面を開いてください。
3)「■ named.confの直接編集」欄に表示されているoptions{}の中に
以下のパラメータを追加してください。
----------------------
dnssec-enable no;
dnssec-validation no;
dnssec-lookaside no;
----------------------
※すでにパラメータを指定している場合、上記の内容に書き換えて設定してください。
InterSec/MW400k
InterSec/MW400j
InterSec/MW400i2
InterSec/MW400i
Express5800/R110d-1M(MW400h2)
InterSecVM/MW V5.0 for VMware
InterSecVM/MW V5.0 for Hyper-V
InterSecVM/MW V4.0 for VMware
InterSecVM/MW V4.0 for Hyper-V
InterSecVM/MW V3.0 for VMware
InterSecVM/MW V3.0 for Hyper-V
InterSecVM/MW V2.1 for Hyper-V
InterSecVM/MW V2.0 for VMware
InterSecVM/MW V2.0 for Hyper-V
・以下のオプションソフトウェアは、脆弱性の影響を受けません。
InterSec/MW 全メール保存ライセンス
InterSec/MW WEBMAIL-X(by WitchyMail)同時接続ライセンス
InterSec/MW 二重化構成構築キット
Express5800/MW 全メール保存ライセンス
Express5800/MW WEBMAIL-X(by WitchyMail)同時接続ライセンス
Express5800/MW 二重化構成構築キット
InterSecVM/MW 全メール保存ライセンス
InterSecVM/MW WEBMAIL-X同時接続ライセンス
InterSecVM/MW 二重化構成構築ライセンス