お客様による BIND 9 アップデート方法 (CVE-2017-3137)について


問題の概要

BIND 9.x には、リモートからをサービスを停止させる脆弱性の問題があります。 プライマリ・セカンダリDNSの種別により影響範囲が異なります。BIND が停止した場合、当該サーバを DNS サーバとして利用しているドメイン 名の名前解決に問題が生じます。
なお、今回の脆弱性におきましては、BIND 9 のアップデートをお勧めいたします。
本ページでは、お客様ご自身にてBIND 9 をアップデートする方法をご案内いたします。

対象サービス
ご契約サーバ上で BIND (DNSサーバソフトウェア) を運用しているサーバ
(VPS / FPS / Flex Mini / Flex Mini2 / Flex Mini Cube / 専用サーバ / 専用サーバ Flex シリーズ / SolaCloud nano)


脆弱性(CVE-2017-3137)の影響を受けるバージョン
bind 9.9.9-P6
bind 9.10.4-P6
bind 9.11.0-P3


対象CVE番号
CVE-2017-3137

セキュリティパッチ適用対象OS

Red Hat Enterprise Linux 6
CentOS 6
Red Hat Enterprise Linux 7
CentOS 7

※RHEL5は有償サポート延長プログラムをご購入の有無にかかわらず、ベンダーからのパッチ提供がございませんので、アップデートはできません。
※CentOS 5は、ベンダーのサポート終了のため、パッチが提供されておりませんので、アップデートはできません。
※CentOS5/RHEL5 以前 OS をご利用のお客様のは、本脆弱性に対応できないため、サーバの乗り換え等をご検討ください。

注意

  • 本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
  • お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
  • 弊社ではお客様サーバの OS に対応した OS ディストリビュータより提供された純正パッケージでのアップデートを強く推奨いたします。

BIND 9 アップデート方法
(1). SSH にてサーバにログイン

SSH にてサーバにログインし、root ユーザに切り替えます。

(2). 事前確認

サーバに設定されているドメイン名を dig コマンドで確認し、正しい内容の応答があることを確認してください。

# dig @(サーバのグロールIPアドレス) (サーバに設定されているドメイン名) soa
(3). OSのバージョン確認方法
# cat /etc/redhat-release
(4). インストールされているパッケージの確認
# rpm -qa|grep ^bind

※一部のバージョンのbind-chrootパッケージがインストールされているサーバ においてアップデートを実施した場合、そのままの状態ではアップデート後に BINDが起動しなくなる場合がございますので、ご注意ください。

(5). アップデートの実施

以下のコマンドを実行し、アップデートを行います
-------------------------------------------------------------------------------------------------
Red Hat Enterprise Linux 6の場合(bindの場合)
CentOS 6
# yum update bind*
-------------------------------------------------------------------------------------------------
Red Hat Enterprise Linux 7の場合(bindの場合)
CentOS 7
# yum update bind*
-------------------------------------------------------------------------------------------------

(6). BIND の再起動

以下のコマンドを実行し、BIND の再起動を行います。

-------------------------------------------------------------------------------------------------
Red Hat Enterprise Linux 6
CentOS 6
# /etc/rc.d/init.d/named stop
# /etc/rc.d/init.d/named start
-------------------------------------------------------------------------------------------------
Red Hat Enterprise Linux 7
CentOS 7
# systemctl stop named
# systemctl start named
-------------------------------------------------------------------------------------------------
 
(7). BINDパッケージのバージョン確認
(bindの場合)
# rpm -q bind --qf '%{name}-%{version}-%{release}\n'

BINDパッケージのバージョンが、以下リリース番号と同じになっているかどうかを確認します。

■CentOS 6および、Red Hat Enterprise Linux 6の場合の修正バージョン(bind)
9.8.2-0.62.rc1.el6_9.1

■CentOS 7および、Red Hat Enterprise Linux 7の場合の修正バージョン(bind)
9.9.4-38.el7_3.3

 

(8). 作業後確認

「(2). 事前確認」と同様の内容で応答があることを確認してください。

# dig @(サーバのグロールIPアドレス) (サーバに設定されているドメイン名) soa

以上、となります。
 

Chuck Norris has counted to infinity. Twice.