JPCERTコーディネーションセンター(JPCERT/CC)は4月13日、ISC BIND 9に複数の脆弱性があり、これらを悪用された場合、リモートからの攻撃によってnamedが終了する可能性があるとして、注意を呼びかけた。

ISCは、対象の脆弱性「CVE-2017-3137」に対する深刻度を「高(High)」、脆弱性「CVE-2017-3136」「CVE-2017-3138」に対する深刻度を「中(Medium)」と評価している。

「CVE-2017-3137」の影響を受けるバージョンは、 9.9系列の9.9.9-P6、9.10系列の9.10.4-P6、9.11系列の9.11.0-P3。キャッシュDNSサーバが対象になるとされているほか、権威DNSサーバで名前解決を実行している場合も対象となりうるという。

「CVE-2017-3136」の影響を受けるバージョンは、 9.9系列の9.9.9-P6およびそれ以前、9.10系列の9.10.4-P6 およびそれ以前、9.11系列の9.11.0-P3 およびそれ以前。特定のオプション ("break-dnssec yes;") を設定して DNS64 を使用している場合、サポートが終了している 9.8 系列も対象になるとされている

「CVE-2017-3138」の影響を受けるバージョンは、 9.9系列の 9.9.9 から 9.9.9-P7 まで、 9.10系列の9.10.4 から 9.10.4-P7 まで、9.11系列の9.11.0-P4 およびそれ以前。制御チャンネル (control channel) により遠隔から制御を受けつける場合に対象になるとされている。

対策として、ISCから脆弱性を修正した以下のバージョンの ISC BIND 9が公開されている。

  • BIND 9 version 9.9.9-P8
  • BIND 9 version 9.10.4-P8
  • BIND 9 version 9.11.0-P5

JPCERT/CCは、今後各ディストリビュータなどからも、修正済みのバージョンが提供されると思われるので、十分なテストを実施の上、修正済みのバージョンを適用することを検討するよう呼びかけている。

ISC Knowledge Base