お客様による BIND 9 アップデート方法 (CVE-2017-3137)について

Question

minchaeleexclara · Accepted Answer

■問題の概要
BIND 9.x には、リモートからをサービスを停止させる脆弱性の問題があります。プライマリ・セカンダリDNSの種別により影響範囲が異なります。BIND が停止した場合、当該サーバを DNS サーバとして利用しているドメイン名の名前解決に問題が生じます。
なお、今回の脆弱性におきましては、BIND 9 のアップデートをお勧めいたします。
本ページでは、お客様ご自身にてBIND 9 をアップデートする方法をご案内いたします。

■対象サービス
ご契約サーバ上で BIND (DNSサーバソフトウェア) を運用しているサーバ
(VPS / FPS / Flex Mini / Flex Mini2 / Flex Mini Cube / 専用サーバ / 専用サーバ Flex シリーズ / SolaCloud nano)

脆弱性(CVE-2017-3137)の影響を受けるバージョン
bind 9.9.9-P6
bind 9.10.4-P6
bind 9.11.0-P3

対象CVE番号
CVE-2017-3137

セキュリティパッチ適用対象OS

・Red Hat Enterprise Linux 6
・CentOS 6
・Red Hat Enterprise Linux 7
・CentOS 7

※RHEL5は有償サポート延長プログラムをご購入の有無にかかわらず、ベンダーからのパッチ提供がございませんので、アップデートはできません。
※CentOS 5は、ベンダーのサポート終了のため、パッチが提供されておりませんので、アップデートはできません。
※CentOS5/RHEL5 以前 OS をご利用のお客様のは、本脆弱性に対応できないため、サーバの乗り換え等をご検討ください。

注意

本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
弊社ではお客様サーバの OS に対応した OS ディストリビュータより提供された純正パッケージでのアップデートを強く推奨いたします。

■BIND 9 アップデート方法

(1). SSH にてサーバにログイン

SSH にてサーバにログインし、root ユーザに切り替えます。

(2). 事前確認

サーバに設定されているドメイン名を dig コマンドで確認し、正しい内容の応答があることを確認してください。 # dig @(サーバのグロールIPアドレス) (サーバに設定されているドメイン名) soa

(3). OSのバージョン確認方法

# cat /etc/redhat-release

(4). インストールされているパッケージの確認

# rpm -qa|grep ^bind

※一部のバージョンのbind-chrootパッケージがインストールされているサーバにおいてアップデートを実施した場合、そのままの状態ではアップデート後に BINDが起動しなくなる場合がございますので、ご注意ください。

(5). Bindのアップデートの実施

以下のコマンドを実行し、アップデートを行います
-------------------------------------------------------------------------------------------------
Red Hat Enterprise Linux 6および、CentOS 6の場合
# yum update bind*
-------------------------------------------------------------------------------------------------

Red Hat Enterprise Linux 7および、CentOS 7の場合
# yum update bind*
-------------------------------------------------------------------------------------------------

(6). BIND の再起動

以下のコマンドを実行し、BIND の再起動を行います。-------------------------------------------------------------------------------------------------
Red Hat Enterprise Linux 6および、CentOS 6
# /etc/rc.d/init.d/named stop
# /etc/rc.d/init.d/named start -------------------------------------------------------------------------------------------------

-------------------------------------------------------------------------------------------------
Red Hat Enterprise Linux 7および、CentOS 7
# systemctl stop named
# systemctl start named
-------------------------------------------------------------------------------------------------

(7). BINDパッケージのバージョン確認

(bindの場合)
# rpm -q bind --qf '%{name}-%{version}-%{release} '

BINDパッケージのバージョンが、以下リリース番号と同じになっているかどうかを確認します。

■CentOS 6および、Red Hat Enterprise Linux 6の場合の修正バージョン(bind)
9.8.2-0.62.rc1.el6_9.1

■CentOS 7および、Red Hat Enterprise Linux 7の場合の修正バージョン(bind)
9.9.4-38.el7_3.3

(8). 作業後確認

「(2). 事前確認」と同様の内容で応答があることを確認してください。
# dig @(サーバのグロールIPアドレス) (サーバに設定されているドメイン名) soa

以上、となります。