bind 9.9.8-P4および9.10.3-P4がリリースされました。
セキュリティ上の問題3件に対する修正が含まれています。
一番影響ありそうなCVE-2016-1286がワークアラウンド無しなのでアップデート不可避。
- CVE-2016-1285
雑まとめ: リモートからcontrol channelに細工したパケットを送られるとサービスがexitする
対象: bind 9.Xほぼすべて (9.2.0 -> 9.8.8, 9.9.0->9.9.8-P3, 9.9.3-S1->9.9.8-S5, 9.10.0->9.10.3-P3)
回避策: rndc接続をlocalhostのみなどに制限する。(デフォルトはlocalhostのみ)
例: named.conf内
controls { inet 127.0.0.1 port 953 allow { 127.0.0.1; } keys { "rndc.key"; }; };
- CVE-2016-1286
雑まとめ: DNAMEレコードの処理において、サービスがexitする場合がある
("specific properties"の内容未確認)
対象: bind 9.Xのほぼすべて (9.0.0 -> 9.8.8, 9.9.0 -> 9.9.8-P3, 9.9.3-S1 -> 9.9.8-S5, 9.10.0 -> 9.10.3-P3)
リゾルバサーバーとして動いている場合は命中。ただし権威サーバーも、スレーブがマスターに送るSOA問い合わせとかのクエリで回答を細工されると被弾
回避策: アップデートしかない
- CVE-2016-2088
雑まとめ: bind 9.10のDNS Cookie処理に問題がある
対象: bind 9.10系列 (9.10.0 -> 9.10.3-P3)
回避策: DNS Cookie(Source Identity Tokens)サポートを無効にする
コンパイルオプション"--enable-sit"の部分(named.confではない)
RHEL7.2やUbuntu 14.04は9.9系なのでセーフ。Ubuntu 16.04が9.10だが未詳
なお、OpenSSLではCritical./High/Medium/Lowの4段階でしたが、ISCはCritical & Catastorophic/Critical/High/Medium/Lowの5段階とのことです。
https://kb.isc.org/article/AA-00861/0/ISC-Software-Defect-and-Security-Vulnerability-Disclosure-Policy.html
(3/17追記)
