問題の概要
BIND 9.x には、リモートからをサービスを停止させる脆弱性の問題があります。 プライマリ・セカンダリDNSの種別により影響範囲が異なります。BIND が停止した場合、当該サーバを DNS サーバとして利用しているドメイン 名の名前解決に問題が生じます。
なお、今回の脆弱性におきましては、BIND 9 のアップデートをお勧めいたします。
本ページでは、お客様ご自身にてBIND 9 をアップデートする方法をご案内いたします。

■対象サービス
ご契約サーバ上で BIND (DNSサーバソフトウェア) を運用しているサーバ
(VPS / FPS / Flex Mini / Flex Mini2 / Flex Mini Cube / 専用サーバ / 専用サーバ Flex シリーズ / SolaCloud nano)


脆弱性(CVE-2017-3137)の影響を受けるバージョン
bind 9.9.9-P6
bind 9.10.4-P6
bind 9.11.0-P3

対象CVE番号
CVE-2017-3137

セキュリティパッチ適用対象OS

Red Hat Enterprise Linux 6
CentOS 6
Red Hat Enterprise Linux 7
CentOS 7

※RHEL5は有償サポート延長プログラムをご購入の有無にかかわらず、ベンダーからのパッチ提供がございませんので、アップデートはできません。
※CentOS 5は、ベンダーのサポート終了のため、パッチが提供されておりませんので、アップデートはできません。
※CentOS5/RHEL5 以前 OS をご利用のお客様のは、本脆弱性に対応できないため、サーバの乗り換え等をご検討ください。

注意

  • 本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
  • お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
  • 弊社ではお客様サーバの OS に対応した OS ディストリビュータより提供された純正パッケージでのアップデートを強く推奨いたします。

BIND 9 アップデート方法

(1). SSH にてサーバにログイン

SSH にてサーバにログインし、root ユーザに切り替えます。

(2). 事前確認

サーバに設定されているドメイン名を dig コマンドで確認し、正しい内容の応答があることを確認してください。 # dig @(サーバのグロールIPアドレス) (サーバに設定されているドメイン名) soa

(3). OSのバージョン確認方法

# cat /etc/redhat-release

(4). インストールされているパッケージの確認

# rpm -qa|grep ^bind

※一部のバージョンのbind-chrootパッケージがインストールされているサーバ においてアップデートを実施した場合、そのままの状態ではアップデート後に BINDが起動しなくなる場合がございますので、ご注意ください。

(5). アップデートの実施

以下のコマンドを実行し、アップデートを行います
————————————————————————————————-
Red Hat Enterprise Linux 6の場合(bindの場合)
CentOS 6
# yum update bind*
————————————————————————————————-
Red Hat Enterprise Linux 7の場合(bindの場合)
CentOS 7
# yum update bind*
————————————————————————————————-

(6). BIND の再起動

以下のコマンドを実行し、BIND の再起動を行います。————————————————————————————————-
Red Hat Enterprise Linux 6
CentOS 6
# /etc/rc.d/init.d/named stop # /etc/rc.d/init.d/named start ————————————————————————————————-Red Hat Enterprise Linux 7CentOS 7 # systemctl stop named # systemctl start named ————————————————————————————————-

(7). BINDパッケージのバージョン確認

(bindの場合)
# rpm -q bind –qf ‘%{name}-%{version}-%{release}\n’

BINDパッケージのバージョンが、以下リリース番号と同じになっているかどうかを確認します。

■CentOS 6および、Red Hat Enterprise Linux 6の場合の修正バージョン(bind)
9.8.2-0.62.rc1.el6_9.1

■CentOS 7および、Red Hat Enterprise Linux 7の場合の修正バージョン(bind)
9.9.4-38.el7_3.3

(8). 作業後確認

「(2). 事前確認」と同様の内容で応答があることを確認してください。 # dig @(サーバのグロールIPアドレス) (サーバに設定されているドメイン名) soa

以上、となります。