ISC BIND 9 の脆弱性 (CVE-2018-5741) について
最終更新: 2018-09-20
2018年9月20日 (日本時間)、ISC から ISC BIND 9 の脆弱性 (CVE-2018-5741) についての情報が公開されました。ISC BIND 9 の update-policy の 2つのルールタイプ (krb5-subdomain、ms-subdomain) の動作に関するマニュアルの記述が不正確であり、結果として意図したアクセス制限がされていると運用者が誤認してしまう可能性があります。
- CVE-2018-5741 の影響を受ける状況
・ ISC BIND 9 9.11.5 および 9.12.3 より前の全てのバージョン(これまでにリリースされた全てのバージョン)
・ update-policy の 2つのルールタイプ (krb5-subdomain、ms-subdomain) を使用した設定をしている
Internet Systems Consortium, Inc. (ISC)
CVE-2018-5741: Update policies krb5-subdomain and ms-subdomain
https://kb.isc.org/docs/cve-2018-5741
ISC は、本脆弱性の脅威度を中 (Medium) と評価しています。なお、本記事の発行時点では、ISC は本脆弱性を修正したバージョンをリリースしていません。
回避策としてゾーンの一部分、例えば example.com の中の sub.example.com の更新を制限するには、sub.example.com を子ゾーンに分割した上で、update-policy を別途設定することを挙げています。
対象となる BIND 9 を使用するユーザは、ISC やディストリビュータなどの情報に注意し、回避策を適用するなどの対応を進めることを検討してください。ISCによると、本脆弱性への対応は、2018年10月の新しいバージョンリリースの段階で行う予定とのことです。
CyberNewsFlash は、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
早期警戒グループ
メールアドレス : ww-info@jpcert.or.jp
Topへ