お客様による BIND 9 アップデート方法 (CVE-2020-8617)について

Question

fukumotoxclara · Accepted Answer

■問題の概要
BIND 9.x には、リモートからをサービスを停止させる脆弱性の問題があります。プライマリ・セカンダリDNSの種別により影響範囲が異なります。BIND が停止した場合、当該サーバを DNS サーバとして利用しているドメイン名の名前解決に問題が生じます。
なお、今回の脆弱性におきましては、BIND 9 のアップデートをおすすめ致します。
本ページでは、お客様ご自身でBIND 9 をアップデートする方法をご案内いたします。

■対象サービス
ご契約サーバ上で BIND (DNSサーバソフトウェア) を運用しているサーバ
( Flex Mini2 / Flex Mini Cube / Flex Web/KUSANAGI with Cube/ 専用サーバ(一部) / 専用サーバ Flex シリーズ(一部) / LG / NR)

脆弱性(CVE-2020-8617)の影響を受けるバージョン
BIND 9.16系 9.16.0 から 9.16.2 まで
BIND 9.14系 9.14.0 から 9.14.11 まで
BIND 9.11系 9.11.0 から 9.11.18 まで
既にサポートが終了しているBIND 9.10系以前や 9.12系、9.13系、9.15系および開発版の 9.17系

対象CVE番号
CVE-2020-8617

セキュリティパッチ適用対象OS
・Red Hat Enterprise Linux 6
・CentOS 6

・Red Hat Enterprise Linux 7
・CentOS 7

※本日現在(2020年6月5日)、弊社ではRHEL8/CentOS8のサービス提供はございませんので、本脆弱性の記載外とさせていただいております。RHEL8/CentOS8も脆弱性の対象となります。
※RHEL5は有償サポート延長プログラム(ELS)をご購入の有無にかかわらず、ベンダーからのパッチ提供がございませんので、アップデートはできません。
※CentOS 5は、ベンダーのサポート終了のため、パッチが提供されておりませんので、アップデートはできません。
※CentOS5/RHEL5 以前 OS をご利用のお客様のは、本脆弱性に対応できないため、サーバの乗り換えをご検討ください。

注意

本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただきますようお願いいたします。
お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
弊社ではお客様サーバの OS に対応した OS ディストリビュータより提供された純正パッケージでのアップデートを強く推奨いたします。

■BIND 9 アップデート方法
(1). SSH にてサーバにログイン
SSH にてサーバにログインし、root ユーザに切り替えます。

(2). 事前確認
サーバに設定されているドメイン名を dig コマンドで確認し、正しい内容の応答があることを確認してください。

dig @(サーバのグローバルIPアドレス) (サーバに設定されているドメイン名) soa

(3). OSのバージョン確認方法
cat /etc/redhat-release

(4). インストールされているパッケージの確認
rpm -qa|grep ^bind

※一部のバージョンのbind-chrootパッケージがインストールされているサーバにおいてアップデートを実施した場合、そのままの状態ではアップデート後に BINDが起動しなくなる場合がございますので、ご注意ください。

(5). BINDのアップデートの実施
以下のコマンドを実行し、アップデートを行います
-----------------------------------------------------------
Red Hat Enterprise Linux 6および、CentOS 6の場合
yum update bind*
-----------------------------------------------------------
Red Hat Enterprise Linux 7および、CentOS 7の場合
yum update bind*
-----------------------------------------------------------

(6). BIND の再起動
以下のコマンドを実行し、BIND の再起動を行います。
Red Hat Enterprise Linux 6および、CentOS 6
/etc/rc.d/init.d/named stop
/etc/rc.d/init.d/named start
------------------------------------------------------------
Red Hat Enterprise Linux 7および、CentOS 7
systemctl stop named
systemctl start named
------------------------------------------------------------
(7). アップデート後のBINDパッケージのバージョン確認
rpm -qa bind

BINDパッケージのバージョンが、以下リリース番号と同じになっているかどうかを確認します。

■CentOS 6および、Red Hat Enterprise Linux 6の場合の修正バージョン(bind)
bind-9.8.2-0.68.rc1.el6_10.7.x86_64

■CentOS 7および、Red Hat Enterprise Linux 7の場合の修正バージョン(bind)
bind-9.11.4-16.P2.el7_8.6.x86_64

(8). 作業後確認
「(2). 事前確認」と同様の内容で応答があることを確認してください。
dig @(サーバのグローバルIPアドレス) (サーバに設定されているドメイン名) soa

以上、となります。