平素は弊社サービスをご利用いただきましてありがとうございます。

 このたび、DNS サーバソフトウェアの「BIND」にリモートからサービス運用妨害 (DoS) の原因となる脆弱性が発見されましたため、問題の概要と弊社における対応について、下記の通りご案内いたします。

 本件につきまして、お客様には同内容のお知らせメールをお送りしております。ご不明な点等ございましたら、お知らせメールの返信にてお問合せください。
今後ともクララオンラインをどうぞ宜しくお願いいたします。

本脆弱性の適用作業では、bind の再起動が発生致します。

問題の概要

RedHat Enterprise Linux(RHEL) もしくは CentOS に含まれる bind パッケージをご利用のサーバにおいて、TKEY RRに対する特別に作成された問い合わせにより、namedが異常終了を起こす障害が発生します。

この脆弱性には、CVE 識別番号として CVE-2015-5477 が割り当てられています。

CVE-2015-5477

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5477

詳細に関しましては、以下の情報もご参照ください。

ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2015-5477) に関する注意喚起

http://www.jpcert.or.jp/at/2015/at150027.html

(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について

http://jprs.jp/tech/security/2015-07-29-bind9-vuln-tkey.html

CVE-2015-5477(RedHat)

https://access.redhat.com/security/cve/CVE-2015-5477

影響を受けるOSとサーバ

Linux 系 OS を使用し、bind をインストールされている以下のサーバが対象となります。
クララオンラインで主に提供しているOSは以下の通りです。

  • CentOS5 / RHEL5
  • CentOS6 / RHEL6

※詳細なバージョンに関しましては bind のバージョン確認ページをご参照ください。
https://spt.clara.jp/ufaqs/ip-304/
※2015年8月7日現在の情報となります。

※RHEL4は有償サポート延長プログラムをご購入の有無にかかわらず、ベンダーからのパッチ提供がございませんので、アップデートはできません
※CentOS 4は、ベンダーのサポート終了のため、パッチが提供されておりませんので、アップデートはできません。
※CentOS4/RHEL4 以前 OS をご利用のお客様は、本脆弱性に対応できないため、サーバの乗り換え等をご検討ください。

・OSに関するご案内
https://spt.clara.jp/other/os-info/

・限定サポートポリシー(サポートが切れたOSに関しまして)
https://spt.clara.jp/other/limited-support/

※Microsoft Windows のサーバは、弊社サービス環境におきましては本脆弱性の影響はございません。

対象となるbindのバージョン

本脆弱性は、bind 9.1.0以降のすべてのバージョンのbind 9が該当します。

・9.10系列:9.10.0~9.10.2-P2
・9.9系列:9.9.0~9.9.7-P1
・9.1~9.8系列:9.1.0~9.8.x

対応策

OS のディストリビュータである Red Hat 社および CentOS より、本脆弱性を修正した パッケージが提供されましたので、弊社にて bind パッケージのアップデート作業を実施いたします。
なお、アップデート後、bindの再起動が自動的に発生致します。

 ※お客様にてサーバのパスワードの変更を行っていたり、ssh の port 番号の変更、rootユーザにてログインできない設定にされている場合など、弊社にてのアップデートが出来ないことがございますので、予めご了承ください。

 弊社でのアップデート作業を待たずにお客様にて作業を実施していただくことも可能です。

お客様による bind アップデート方法

お客様にてアップデートを行われる場合には、修正済みパッケージを ダウンロードいただき、更新作業の実施が可能でございます。具体的な手順につきましてはお客様による bind アップデート方法をご参照ください。

お客様による bind アップデート方法

クララオンラインでの bind アップデート作業

bind パッケージ更新の流れは以下になりますので、ご確認ください。

1. パッケージ更新 <弊社作業>

2015年8月11日(火)午前10時以降に弊社にて順次パッケージの更新を実施致します。

  • 特に申請をいただく必要はございません。
  • 実施時間はご指定いただけません。あらかじめご了承下さい。
  • 弊社での作業実施を希望されないお客様は、 2015年8月11日(火)午前9時までに本メールの返信にてご連絡をお願い致します。

– 連絡先
security-updates@clara.ad.jp
– 連絡項目
お客様番号:
お客様名 :
ホスト名 :
IPアドレス:
ご希望内容:
※ご依頼はご登録担当者様よりお願いいたします。