■概要
BIND脆弱性(CVE-2016-9131,CVE-2016-9147,CVE-2016-9444)には、Express5800/MW,
InterSec/MW, InterSecVM/MWに影響を与えるものが含まれています。
脆弱性を回避するために下記の対処を行ってください。
■対処方法
関連情報のリンク『【Express5800/MW, InterSec/MW, InterSecVM/MW】 BIND脆弱性に
対処したパッケージの個別提供』で提供するパッケージへアップデートしてください。
※今後更新される可能性もありますことに予めご留意ください。
■詳細
本脆弱性により、named(DNSサービス)を停止させられる可能性があります。namedが
異常終了した場合、assertion failureを引き起こした旨のメッセージがログに出力
されます。
・CVE-2016-9131
ANY クエリに対するレスポンスの処理が原因でセキュリティホールが存在します。
DNS サーバに ANY クエリを送信し細工されたレスポンスを受信することによって、named
を不正に停止されサービスを妨害される可能性があります。
なお、本脆弱性は、フルリゾルバー(キャッシュDNSサーバー)の機能が有効に設定されて
いるBINDが影響を受けます。
・CVE-2016-9147
DNSSEC関連のRRSetの処理に不具合があり、矛盾するDNSSEC関連のRRSetを含む応答
を受け取った際の内部処理において、namedを不正に停止されサービスを妨害される
可能性があります。
なお、本脆弱性は、フルリゾルバー(キャッシュDNSサーバー)の機能が有効に設定
されているBINDが影響を受けます。
また、DNSSECを有効としていない場合でも本脆弱性の対象となり、DNSSECを無効にして
いることでの回避はできません。
・CVE-2016-9444
DS リソースレコードの処理が原因でセキュリティホールが存在します。
DNS サーバにクエリを送信し細工された DS リソースレコードを含むレスポンスを受信する
ことによって、named を不正に停止されサービスを妨害される可能性があります。
なお、本脆弱性は、フルリゾルバー(キャッシュDNSサーバー)の機能が有効に設定されて
いるBINDが影響を受けます。
・CVE-2016-9778
nxdomain-redirect 機能の処理が原因でセキュリティホールが存在します。
リモートの攻撃者に細工された DNS クエリを送信されることによって、named を不正に停止
されサービスを妨害される可能性があります。
なお、このセキュリティホールは、nxdomain-redirect 機能を使用して NXDOMAIN リダイレク
ションを行う権威サーバに影響し、nxdomain-redirect 機能を使用しない権威サーバや純粋な
キャッシュサーバ(再帰リゾルバ) には影響しません。
本脆弱性に対しては一時的な回避策は存在しません。
[■対処方法]に従って、対応を行ってください。
詳細は、以下のJPCERT/CCのサイトを参照してください。
https://www.jpcert.or.jp/at/2017/at170004.html
(2017/1/12 情報公開)
各脆弱性の影響有無につきましては以下を参照下さい。
CVE |
InterSec/MW400 |
Express5800 |
InterSecVM/MW |
MW400j |
MW400i2 |
MW400i |
MW400h2 |
MW400h |
MW400g |
4.0 |
3.0 |
2.1 |
2.0 |
1.0 |
CVE-2016-9131 |
○ |
○ |
○ |
○ |
○ |
× |
○ |
○ |
○ |
○ |
× |
CVE-2016-9147 |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
CVE-2016-9444 |
○ |
○ |
○ |
○ |
○ |
× |
○ |
○ |
○ |
○ |
× |
CVE-2016-9778 |
× |
× |
× |
× |
× |
× |
× |
× |
× |
× |
× |
※ 「○」は、影響あり、「×」は、影響なしとなります。
・CVE-2016-9147
不正な応答メッセージのパケットを構築する際、namedが異常終了を起こす障害が発生する
可能性があります。
・CVE-2016-9131
・CVE-2016-9444
不正な応答メッセージのパケットを構築する際、namedが異常終了を起こす障害が発生する
可能性があります。
なお、Express5800/MW400gおよびInterSecVM/MW V1.0 では、脆弱性の対象となるバージョ
ンを利用していないため、該当しません。
・CVE-2016-9778
本脆弱性は、脆弱性の対象となるバージョンを利用していないため、全てにおいて、該当
しません。
■脆弱性の影響を受けるサービス
・BIND脆弱性の影響を受けるサービス
- ネームサーバ(named)サービス
以下のオプションにおけるDNS関連機能も影響の範囲に含まれます。
- Express5800/MW DNS/DHCP強化オプション
- InterSec/MW DNS/DHCP強化オプション
- InterSecVM/MW DNS/DHCP強化ライセンス
■脆弱性の影響を受けないサービス
以下のサービスは本脆弱性の影響を受けません。
- メールコントローラ(MWMCTL)
- メールサーバ(sendmail) / メールサーバ(postfix)
- メールサーバ(popd/imapd) / メールサーバ(dovecot)
- Webサーバ(httpd)
- WEBMAIL-Xサーバ(webmail-httpd)
- リモートシェル(sshd)/リモートログイン(telnetd)
- DHCPサーバ(dhcpd)
- ファイル転送(ftpd)
- UNIXファイル共有(nfsd)
- Windowsファイル共有(smbd)
- アドレス帳(ldap)
- 時刻調整(ntpd)
- ネットワーク管理エージェント(snmpd)
- サーバ管理エージェント(wbmcmsvd)
- システム監視(MW_MONITOR)
- サービス監視(chksvc)
- 二重化機能(二重化構成構築キット、二重化構成構築ライセンス)
CLUSTERPRO Xが動作していますが、本脆弱性の影響はありません。
(※ご利用の製品によっては提供していないサービスもあります)
■想定される影響
遠隔の第三者によって、DNSサービスの運用妨害 (DoS) 状態 (named の停止) に
される可能性があります。
Express5800/MW400g
Express5800/MW400h
Express5800/R110d-1M(MW400h2)
InterSec/MW400i
InterSec/MW400i2
InterSec/MW400j
InterSecVM/MW V1.0
InterSecVM/MW V2.0 for VMware
InterSecVM/MW V2.0 for Hyper-V
InterSecVM/MW V2.1 for Hyper-V
InterSecVM/MW V3.0 for VMware
InterSecVM/MW V3.0 for Hyper-V
InterSecVM/MW V4.0 for VMware
InterSecVM/MW V4.0 for Hyper-V
・以下のオプションソフトウェアは、脆弱性の影響を受けません。
Express5800/MW 全メール保存ライセンス
Express5800/MW WEBMAIL-EXT 100Uライセンス
Express5800/MW WEBMAIL-X(by WitchyMail)同時接続ライセンス
Express5800/MW 二重化構成構築キット
InterSec/MW 全メール保存ライセンス
InterSec/MW WEBMAIL-X(by WitchyMail)同時接続ライセンス
InterSec/MW 二重化構成構築キット
InterSecVM/MW 全メール保存ライセンス
InterSecVM/MW WEBMAIL-X同時接続ライセンス
InterSecVM/MW 二重化構成構築ライセンス