2012/6/8 (金) 更新
平素は弊社サービスをご利用いただきましてありがとうございます。
先般より御連絡させていただいておりますDNS サーバソフトウェアの「BIND」の 脆弱性(CVE-2012-1667)について、OS のディストリビュータである Red Hat 社ならびに CentOS Project より 一部の OS において、修正した BIND パッケージが提供されました。
弊社における今後の対応について、以下の通りご案内いたします。
セキュリティアップデート適用対象OS
- Red Hat Enterprise Linux 5
- Red Hat Enterprise Linux 6
- CentOS 5
- CentOS 6
※Red Hat Enterprise Linux 3,4 / CentOS 3,4 についてはベンダサポート終了のた め、セキュリティアップデートが提供されません。
※Red Hat Enterprise Linux 4 有償サポート延長プログラムをご利用のサーバについて、 脆弱性(CVE-2012-1667)は、重要度が Critical に分類されていないため、 セキュリティアップデートが提供されない予定です。
お客様サーバでの対応策
OS のディストリビュータである Red Hat 社ならびに CentOS Project より、一部のOSにおいて 本脆弱性を修正した BIND パッケージが提供されておりますので、BIND パッケージの更新をお勧めいたします。
更新につきましては、お客様にて実施いただく方法と、弊社にて更新作業を代行 させていただく方法とがございます。
※本脆弱性は弊社「サーバソフトウェアの管理ポリシー」の基準には合致いたしませんが、 本脆弱性の影響を受けた場合には、DNS サーバが停止してしまうため、 希望されるお客様を対象に、弊社にて更新作業を実施させていただくことといたしました。
お客様による BIND 9 アップデート方法
お客様にてアップデートを行われる場合には、修正済みパッケージをダウンロー ドいただき、更新作業を実施していただきます。具体的な手順につきましてはお客様による BIND 9 アップデート方法をご参照ください。
|
お客様による BIND 9 アップデート方法
https://spt.clara.jp/2012/06/2814/ |
BIND のバージョン確認
サーバ上の BIND パッケージが脆弱性対応済みのバージョンとなっているかを 確認するには、以下の各 OS 毎のパッケージのバージョン情報をご参照ください。
| Red Hat Enterprise Linux 6 | bind-9.7.3-8.P3.el6_2.3以降 |
| Red Hat Enterprise Linux 5 | bind-9.3.6-20.P1.el5_8.1以降 |
| CentOS6 | bind-9.7.3-8.P3.el6_2.3以降 |
| CentOS5 | bind-9.3.6-20.P1.el5_8.1以降 |
DNS サーバ「BIND」の脆弱性(CVE-2012-1667)に関する注意喚起
2012/6/5 (火) 更新
平素は弊社サービスをご利用いただきましてありがとうございます。
このたび、DNS サーバソフトウェアの「BIND」に、リモートから サービスを 停止出来る可能性のある脆弱性が発見されましたため、問題の概要と弊社にお ける対応について、下記の通りご案内いたします。
お客様にはお手数をおかけいたしますが、サービスの安定的な運用を行うため、ご理解・ご協力の程、よろしくお願い申し上げます。
本件につきまして、ご不明な点等ございましたら、本メールの返信にてお問合せください。今後ともクララオンラインをどうぞ宜しくお願い致します。
影響を受けるサーバ
ご契約サーバ上のバージョンが 9.x 系の DNS サーバ「BIND」を運用しているお客様サーバ (VPS / FPS / Flex Mini / Flex Mini 2 シリーズ / 専用サーバ / 専用サーバ Flex シリーズ / SolaCloud)
なお、クララオンラインで管理しておりますコンテンツ DNS サーバ (DNS サー バ名が clara.co.jp で終わるサーバ) を指定されている場合のコンテンツDNSサー バ、および各サーバに設定されている、リゾルバ用ネームサーバの影響範囲・メ ンテナンス作業の案内については、以下のURLにてご案内いたします。
https://spt.clara.jp/2012/06/2830/
以下については、主にお客様サーバに関してご案内いたします。
問題の概要
BIND 9.x には、リモートからをサービスを停止させる脆弱性の問題があります。
BIND が停止した場合、当該サーバを DNS サーバとして利用しているドメイン 名の名前解決に問題が生じます。
DNSサーバの運用種別により影響範囲が異なりますので、それぞれについてご 説明いたします。
| プライマリコンテンツDNSサーバ | ※プライマリコンテンツDNSサーバでは、意図的に特殊なレコードを設定して いなければ、発生いたしません。 プライマリコンテンツDNSサーバでは、ゾーンにおいてRDATAレコード長が 0 のレコードを設定した場合にのみ発生いたします。ただし、通常の利用方法に おいて、レコード長を 0 に設定することはないため、影響は発生しません。 なお、影響は、OS が RHEL6/CentOS6 の環境、および、RHEL5/CentOS5 の環境 で bind97 パッケージに入れ替えて利用している場合が対象となります。 |
| キャッシュサーバ / セカンダリコンテンツDNSサーバ |
弊社でご提供しております DNS サーバを設定変更等をおこなわず運用いただ いている場合は、キャッシュサーバ、および、セカンダリコンテンツ DNS サー バとしては、設定されていないため影響を受けません。 キャッシュサーバ、および、セカンダリコンテンツ DNS サーバとして利用す るように設定を変更されている場合は、以下の詳細情報で影響範囲をご確認く ださい。 |
この脆弱性には、CVE 識別番号として CVE-2012-1667 が割り当てられています。
CVE-2012-1667
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1667
詳細に関しましては、開発元 ISC 社、JPRS 、および、JPCERT/CC 等の情報をご参照ください。
長さ0のrdataによってnamedが異常停止する (ISC)
https://www.isc.org/software/bind/advisories/cve-2012-1667https://www.isc.org/advisories/cve-2012-1667-jp
(緊急)BIND 9.xの脆弱性(サービス停止を含む)について
– キャッシュ/権威DNSサーバーの双方が対象、バージョンアップを強く推奨 – (JPRS)
http://jprs.jp/tech/security/2012-06-05-bind9-vuln-zero-length-rdata.html
ISC BIND 9 サービス運用妨害の脆弱性に関する注意喚起 (JPCERT/CC)
https://www.jpcert.or.jp/at/2012/at120018.html対応策
セキュリティパッチの適用
- (1)のサーバに関しましては、OSベンダーよりセキュリティパッチが提供され次第、パッチの適用など対応策を、再度ご案内させていただきます。
- クララオンラインで管理しております各 DNS サーバの影響範囲・メンテナンス 作業の案内については、以下のURLにてご案内いたします。
https://spt.clara.jp/2012/06/2830/