平素は弊社サービスをご利用いただきましてありがとうございます。

 このたび、DNS サーバソフトウェアの「BIND」にリモートからnamed の異常終了や、異常な動作の原因となる脆弱性が発見されましたため、問題の概要と弊社における対応について、下記の通りご案内いたします。

本脆弱性の適用作業では、bind の再起動が発生致します。

問題の概要

RedHat Enterprise Linux(RHEL) もしくは CentOS に含まれる bind パッケージをご利用のサーバTSIG リソースレコードを含むメッセージの有効性のチェックの不具合に起因しており、特別に細工されたメッセージを受け取った場合に named の異常終了や、異常な動作が発生する可能性があります。 BIND 9では TSIG のローカルセッション鍵がデフォルトで設定されるため、TSIG を利用する設定をしていない場合も、対象となります。

この脆弱性には、CVE 識別番号として CVE-2020-8617 が割り当てられています。

ISC BIND 9 の脆弱性 (CVE-2020-8616, CVE-2020-8617) に関する注意喚起

https://www.jpcert.or.jp/at/2020/at200023.html

CVE-2020-8617(RedHat)

https://access.redhat.com/security/cve/cve-2020-8616

影響を受けるOSとサーバ

Linux 系 OS を使用し、bind をインストールされている以下のサーバが対象となります。
クララオンラインで主に提供しているOSは以下の通りです。

  • CentOS6 / RHEL6
  • CentOS7 / RHEL7

※詳細なバージョンに関しましては bind のバージョン確認ページをご参照ください。
https://spt.clara.jp/ufaqs/id-7941/
※2020年6月5日現在の情報となります。

※本日現在(2020年6月5日)、弊社ではRHEL8/CentOS8のサービス提供はございませんので、本脆弱性の記載外とさせていただいております。RHEL8/CentOS8も本脆弱性の対象となります。
※RHEL5は有償サポート延長プログラム(ELS)をご購入の有無にかかわらず、ベンダーからのパッチ提供がございませんので、アップデートはできません。
※CentOS 5は、ベンダーのサポート終了のため、パッチが提供されておりませんので、アップデートはできません。
※CentOS5/RHEL5 以前 OS をご利用のお客様のは、本脆弱性に対応できないため、サーバの乗り換えをご検討ください。

・OSに関するご案内
https://spt.clara.jp/other/os-info/

・限定サポートポリシー(サポートが切れたOSに関しまして)
https://spt.clara.jp/other/limited-support/

対象となるbindのバージョン

BIND 9.16系 9.16.0 から 9.16.2 まで
BIND 9.14系 9.14.0 から 9.14.11 まで
BIND 9.11系 9.11.0 から 9.11.18 まで
既にサポートが終了しているBIND 9.10系以前や 9.12系、9.13系、9.15系および開発版の 9.17系

対応策

OS のディストリビュータである Red Hat 社および CentOS より、本脆弱性を修正した パッケージが提供されましたので、弊社にて bind パッケージのアップデート作業を実施いたします。
なお、アップデート後、bindの再起動が自動的に発生致します。

 ※お客様にてサーバのパスワードの変更を行っていたり、ssh の port 番号の変更、rootユーザにてログインできない設定にされている場合など、弊社にてのアップデートが出来ないことがございますので、予めご了承ください。

弊社でのアップデート作業をご依頼せずに、お客様にて作業を実施していただくことも可能です。

お客様による bind アップデート方法

お客様にてアップデートを行われる場合には、修正済みパッケージを ダウンロードいただき、更新作業の実施が可能でございます。具体的な手順につきましてはお客様による BIND 9 アップデート方法 (CVE-2020-8617)についてをご参照ください。

お客様による BIND 9 アップデート方法 (CVE-2020-8617)について

お客様にて作業が難しい場合は、弊社サポート宛て(support@clara.ne.jp)までご依頼をいただきますようお願い致します。
弊社営業時間内(平日10:00-18:00)にて、弊社の任意のタイミングにて作業を実施させていただきます。なお、アップデート作業中につきましては、通常の場合は数秒程度名前解決の遅延が発生致します。通常は、セカンダリDNSの設定が、適切におこなわれていれば障害は発生致しません。
ご依頼の際のメールにつきましては、以下の内容を必ずご記載をいただきますようお願い致します。

□ご依頼時のメールフォーマット
メールの件名:BINDのアップデート(CVE-2020-8617)依頼
メールの本文
・更新対象サーバのホスト名および、IPアドレス
・パッケージの更新作業後のメールのご連絡の有無(必要 or 不要)
※「必要」、「不要」のいずれかのご記載をいただきますようお願い致します。