관리자 (posted by 2017-02-09)  
[KISA] BIND 보안 취약점 발견에 따른 조치 권고
안녕하세요. 한국인터넷진흥원 인터넷주소센터에서 알려드립니다.
2017. 2. 8. (현지시간) ISC(Internet Systems Consortium, http://www.isc.org)에서 BIND 9 S/W에 대한 신규 취약점 1건 및 패치 버전을 공
개하였습니다.
BIND S/W를 이용하여 네임서버를 운영 중이신 기관에서는 BIND 취약점을 이용한 보안 침해사고가 발생하지 않도록 최신 BIND S/W로 업데이트
하실 것을 권고해 드립니다.

o CVE-2017-3135 : Combination of DNS64 and RPZ Can Lead to Crash
- DNS64와 RPZ을 동시에 설정하여 사용하는 경우, 구동 중 오류(assertion fault)로 인해 서버 구동이 중단될 수 있는 취약점
- DNS64의 AAAA 레코드 변환응답 처리 절차와 RPZ의 응답레코드 재처리 절차 간에 상호 DNS응답처리 상태관리에서 충돌이 발생하는 경우
서버 구동 중단 발생
* DNS64 : IPV4 -> IPv6 전환기술 중 하나인 NAT64(Network Address Translation between IPv6 and IPv4) 메커니즘을 지원하기 위한 DNS
표준기능
* RPZ(Response Policy Zone) : DNS응답 중 지정된 조건의 질의, 응답코드 등에 해당하는 응답인 경우 이를 정책(Policy)으로 지정된 형태로 변형된 응답처리를
하는 기능
- DNS64와 RPZ를 동시에 설정 사용하는 경우에 취약 (권한DNS/캐시DNS 동일)
- 취약점 해당 버전 범위 : BIND DNS 9.9.3~9.9.9-P5, 9.9.10b1, 9.10.0~9.10.4-P5, 9.10.5b1, 9.11.0~9.11.0-P2, 9.11.1b1
- 심각수준 : High
- 공격위협 : 원격 서비스 거부공격에 악용 가능. 원격 구동중단 유발
- 취약점 악용한 공격코드 : 아직 발견된 바 없음

o 조치 방법
- 설정에 의한 조치 방법 : DNS64와 RPZ 동시에 사용하지 않도록 설정
- BIND 버전 업그레이드 방법 : 아래 취약점 조치 배포버전으로 업그레이드 조치
BIND 9.9.9-P6
BIND 9.10.4-P6
BIND 9.11.0-P3

네임서버 설정 등 운영 관련 기술적 문의사항은 다음 연락처로 문의해주시기 바랍니다.
o 한국인터넷진흥원 인터넷주소센터 : 02-405-6498, in_chk@nic.or.kr
감사합니다.

591 차세대 인증, 인증을 넘어 산업을 연결하다   관리자   2019-11-01
590 [한국인터넷진흥원] AD 관리자 계정 탈취 침해사고 분석 기술 보고서 공유   관리자   2019-03-04
589 이메일 해킹? 비트코인 결제 요구 ‘혹스’ 메일 주의   관리자   2018-09-17
588 클라우드 보안 시장, 어떤 기능으로 ‘격돌’ 하나   관리자   2018-06-16
587 한 발 앞서 꼽아본 2018년 상반기 보안이슈 6   관리자   2018-06-12
586 매트릭스 랜섬웨어 재등장. 평양,주체 문장   관리자   2018-06-02
585 양자 컴퓨터 시대, 어떤 암호화 기술이 대세될까?   관리자   2018-05-25
584 인터넷 익스플로러에서 제로데이 익스플로잇 발견   관리자   2018-05-16
583 인텔CPU, 심각한 보안결함…   관리자   2018-01-05
582 [KISA] 전 세계 대상 윈도우 취약점 악용한 랜섬웨어 공격 발생에 따른 주의 권고   관리자   2017-05-15

   1  |  2  |  3  |  4  |  5  |  6  |  7  |  8  |  9  |  10   


제목 글쓴이