CentOS 6 を対象とした修正パッケージが公開されました (2015/8/7)
いつもご利用いただき、誠にありがとうございます。
BIND 9.x における実装上の不具合により、namedに対する外部からのサービス運用妨害(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されました。本脆弱性には CVE-2015-5477 が割り当てられています。
【概 要】
BIND 9.x には TKEY リソースレコード(RR)の取り扱いに不具合があり、TKEY RR に対する特別に作成された問い合わせにより、namedが異常終了を起こす障害が発生します。
※ 本脆弱性によりnamedが異常終了した場合、"REQUIRE" assertion failure を引き起こした旨のメッセージがログに出力されます。
※ TKEY の機能を使用していない場合も、本脆弱性の対象となります。
本脆弱性により、リモートからDNSサービスの停止が発生する可能性があります。
詳細は下記を参照下さい。
- CVE-2015-5477: An error in handling TKEY queries can cause named to exit with a REQUIRE assertion failure (ISC Knowledge base)
- (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(2015年7月29日公開)(日本レジストリサービス)
- ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2015-5477) に関する注意喚起 (JPCERT/CC)
- CVE-2015-5477 (MITRE CVE dictionary)
- CVE-2015-5477 (Red Hat カスタマーポータル)
□影響を受けるバージョン
BIND 9.1.0以降のすべてのバージョンのBIND 9が該当します。 当サービスで提供している RHEL や CentOS も対象となります。
□解決策
BIND 9 で影響を受けるバージョンをお使いの場合はアップデートする必要があります。本脆弱を修正したパッケージへ速やかにアップデートを実施して下さい。
尚、named の設定ファイル(named.conf)等での設定オプションでは回避出来ません。本脆弱性のその他の回避策もありません。
◆ RHEL
RHEL5 および RHEL6 では、修正パッケージが提供されています。
修正後のバージョンは下記の通りです。
- RHEL6 (bind):bind-9.8.2-0.37.rc1.el6_7.2
- RHEL5 (bind):bind-9.3.6-25.P1.el5_11.3
- RHEL5 (bind97):bind97-9.7.0-21.P2.el5_11.2
OS の自動アップデートが有効となっているサーバは、順次アップデートが実施されます。
※ RHEL 6.7 リリースに伴い RHEL 6 向けのアップデートを停止しておりましたが、本日(2015/07/30)再開致しました。
◆CentOS
CentOS 5/6 ともに修正パッケージが提供されています。 修正後のバージョンは下記の通りです。
- CentOS5(bind):bind-9.3.6-25.P1.el5_11.3
- CentOS5(bind97):bind97-9.7.0-21.P2.el5_11.2
- CentOS6:bind-9.8.2-0.37.rc1.el6_7.2
CentOS は自動アップデート対象とはなっておりませんので、バージョンをご確認の上、影響を受けるバージョンの場合は手動によるアップデートが必要となります。
□確認方法およびアップデート方法
RHEL や CentOS では、rpm にて bind がインストールされています。
現在のパッケージバージョンは下記で確認が可能です。
# rpm -q bind
サーバにて OS 標準の bind を利用している場合、上記バージョンより古いものはアップデート対象となります。アップデートは下記コマンドで実施可能です。
# yum update bind
bind だけでなく、すべてのパッケージにてアップデートを行う場合は次のように実施します。
※ この場合、多数のパッケージがアップデートされますので、ご注意ください。
# yum update
次のコマンドを実施し、アップデート対象となるパッケージが問題ないものか確認の上実施下さい。
# yum list updates
または
# yum check-update
※ アップデート対象が存在しない場合は、下記コマンドを実施後、再度アップデート対象があるか確認してください。
# yum clean all
RHEL 4 以前のOS(所謂 Linux 系のレガシー OS )では、修正は提供されません。OSアップグレードを検討下さい。
※ 当サービスでの作業が必要な場合は有償にて実施させていただきます。