■概要
CVE-2019-6467,CVE-2019-6468については影響を受けません。
CVE-2018-5743は、Express5800/MW、InterSec/MW、InterSecVM/MWのDNSサーバ
に対して影響を与えるものが含まれています。
本脆弱性により、DNSサーバへの正規のアクセスが行えなくなる、サーバのリソース消費
に影響を及ぼす可能性があります。ご利用の製品の影響の有無をご確認の上、対処を行っ
てください。
■暫定対処(一時的な回避策)
DNSサーバをインターネット側に公開されている場合、ファイアウォール機器などでインター
ネットからMW(bind)のTCP/53番ポートへの接続数上限を100に制限してください。
この措置は、DNSサーバのTCP/53への接続を、ファイヤーウォールが拒否するものです。
制限値は、「rndc status」コマンドにより、同時接続数の状況を確認した上で決定を
お願いします。
補足:「接続数上限100」は、bindにおける既定の上限設定値と同じ値となります。
■正式対処
脆弱性に対処するためには、■関連情報に掲載予定の『【Express5800/MW, InterSec/MW,
InterSecVM/MW】BIND脆弱性に対処したパッケージの個別提供』で公開予定のパッケージへ
アップデートしてください。
■詳細
・CVE-2018-5743
namedには、設定ファイル(named.conf)により、namedに対するTCPの
同時接続数を制限する機能があります。また、設定ファイルに値が指定されていない場合、
デフォルト値の100が設定されます。
実装上の不具合により、この制限の設定値を超えるTCP接続を誤って受け入れます。
本脆弱性を利用して、外部の攻撃者がnamedプロセスのファイル記述子を意図的
に枯渇させ、namedのネットワーク接続や、ログファイル/ゾーンジャーナルファイル
の取り扱いなどに悪影響を与える可能性があります。
本脆弱性の詳細は以下のリンク先を参照してください。
https://jprs.jp/tech/security/2019-04-25-bind9-vuln-tcp-clients.html
⇒「■(緊急)BIND 9.xの脆弱性(ファイル記述子の過度な消費)について(CVE-2018-5743)」
・CVE-2019-6467
nxdomain-redirect機能を有効にしている場合にnamedが異常終了する可能性があります。
(対象のバージョンを利用していないため、影響は受けません)
https://jprs.jp/tech/security/2019-04-25-bind9-vuln-nxdomain-redirect.html
⇒「■BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2019-6467)」
・CVE-2019-6468
nxdomain-redirect機能を有効にしている場合にnamedが異常終了する可能性があります。
(対象のバージョンを利用していないため、影響は受けません)
https://kb.isc.org/docs/cve-2019-6468
⇒「CVE-2019-6468: BIND Supported Preview Edition can exit with an assertion failure if nxdomain-redirect is used」
各脆弱性の影響有無については以下を参照下さい。
| CVE |
InterSec/MW400 |
Express5800 |
InterSecVM/MW |
| MW400k |
MW400j |
MW400i2 |
MW400i |
MW400h2 |
5.0 |
4.0 |
3.0 |
2.1 |
2.0 |
| CVE-2018-5743 |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
| CVE-2019-6467 |
× |
× |
× |
× |
× |
× |
× |
× |
× |
× |
| CVE-2019-6468 |
× |
× |
× |
× |
× |
× |
× |
× |
× |
× |
※ 「○」は影響あり、「×」は影響なしとなります。
■脆弱性の影響を受ける確認方法
DNSサーバの設定の内容にかかわらずご利用の場合は、CVE-2018-5743は、対象となり影響を受けます。
■脆弱性の影響を受けるサービス
・BIND脆弱性の影響を受けるサービス
- ネームサーバ(named)サービス
以下のオプションにおけるDNS関連機能も影響の範囲に含まれます。
- Express5800/MW DNS/DHCP強化オプション
- InterSec/MW DNS/DHCP強化オプション
- InterSecVM/MW DNS/DHCP強化ライセンス
■脆弱性の影響を受けないサービス
以下のサービスは本脆弱性の影響を受けません。
- メールコントローラ(MWMCTL)
- メールサーバ(sendmail) / メールサーバ(postfix)
- メールサーバ(popd/imapd) / メールサーバ(dovecot)
- Webサーバ(httpd)
- WEBMAIL-Xサーバ(webmail-httpd)
- リモートシェル(sshd)/リモートログイン(telnetd)
- DHCPサーバ(dhcpd)
- ファイル転送(ftpd)
- UNIXファイル共有(nfsd)
- Windowsファイル共有(smbd)
- 時刻調整(ntpd)
- ネットワーク管理エージェント(snmpd)
- サーバ管理エージェント(wbmcmsvd)
- ファイル転送(vsftpd)
- システム監視(MW_MONITOR)
- サービス監視(chksvc)
- ディレクトリサーバ(openldap)
- 二重化機能(二重化構成構築キット、二重化構成構築ライセンス)
CLUSTERPRO Xが動作していますが、本脆弱性の影響はありません。
(※ご利用の製品によっては提供していないサービスもあります)
■想定される影響
悪意を持つ第三者からの不正なアクセスにより、DNSサーバへの正規のアクセス
が行えなくなったり、サーバのリソース消費に影響を及ぼす可能性があります。
Express5800/R110d-1M(MW400h2)
InterSec/MW400i
InterSec/MW400i2
InterSec/MW400j
InterSec/MW400k
InterSecVM/MW V2.0 for VMware
InterSecVM/MW V2.0 for Hyper-V
InterSecVM/MW V2.1 for Hyper-V
InterSecVM/MW V3.0 for VMware
InterSecVM/MW V3.0 for Hyper-V
InterSecVM/MW V4.0 for VMware
InterSecVM/MW V4.0 for Hyper-V
InterSecVM/MW V5.0 for VMware
InterSecVM/MW V5.0 for Hyper-V
・以下のオプションソフトウェアは、脆弱性の影響を受けません。
Express5800/MW 全メール保存ライセンス
Express5800/MW WEBMAIL-X(by WitchyMail)同時接続ライセンス
Express5800/MW 二重化構成構築キット
InterSec/MW 全メール保存ライセンス
InterSec/MW WEBMAIL-X(by WitchyMail)同時接続ライセンス
InterSec/MW 二重化構成構築キット
InterSecVM/MW 全メール保存ライセンス
InterSecVM/MW WEBMAIL-X同時接続ライセンス
InterSecVM/MW 二重化構成構築ライセンス