【注意喚起】ISC BIND 9 に対する複数の脆弱性に関する注意喚起

ISC社製BIND 9（バインド9）の脆弱性について注意喚起です。

※BIND 9は、DNSサーバソフトウェアです。
【対象】本情報はシステム担当者向け情報になります。

所管のシステムでISC社製BIND 9を使用しているか不明な場合は、
構築業者又は保守運用業者にお問い合わせください。

利用している場合は、本脆弱性対象バージョンか点検をお願いいたします。
＜修正済みバージョン＞
　9.12.1-P2

================================
●本脆弱性の発生条件1(キャッシュサーバとして稼働している場合)
・バージョン：BIND9.12.0またはBIND9.12.1が稼働
・「max-stale-ttl」の値が0以外の設定である

●本脆弱性の発生条件2(セカンダリサーバとして稼働している場合)
・バージョン：BIND9.12.0またはBIND9.12.1が稼働
・NOTIFYメッセージ(DNS情報の更新通知)の受信を許可している場合

●脆弱性内容
・キャッシュDNSで、「max-stale-ttl」を0以外で設定し運用している際に異常終了や
　性能低下が生じる(CVE-2018-5737)
・スレーブサーバで、1台目のDNSサーバから2台目のDNSサーバへNOTIFYメッセージ
　(DNS情報の更新通知)の受信を許可している環境などにおいて、ゾーン転送(1台目の
　DNS情報を2台目のDNSサーバへコピーすること)が短期間に連続で発生させられると、
　サービス拒否に陥るおそれがある。(CVE-2018-5736)

●対処方法
・早急にISC社が公開した修正済みバージョンを十分なテストを実施の上、適用してください。

＜修正済みバージョン＞
　9.12.1-P2


尚、ISC 社からは修正済みのバージョンを適用するまでの一時回避として以下の情報が提供されています。

（CVE-2018-5736）
許可された送信元からのNOTIFYメッセージのみを受け付けるように設定することで、本脆弱性のリスクを軽減できます。

（CVE-2018-5737）
設定ファイルにおいて"max-stale-ttl 0;"を指定することで、本脆弱性を回避できます。
ただし、本設定により serve-stale が無効になります。
なお、設定ファイルにおける"stale-answer-enable no;"の指定では不十分であり、
"max-stale-ttl 0;"の指定が必要であることに注意が必要です。