▒▒▒▒▒ 이소컴 UTM서비스 페이지입니다. ▒▒▒▒▒

관리자 (posted by 2017-04-14)

1543

[KISA] BIND 신규 취약점 발견에 따른 조치 권고

안녕하세요. 한국인터넷진흥원 인터넷주소센터에서 알려드립니다.
2017. 4. 12. (미 서부시간) ISC(Internet Systems Consortium, http://www.isc.org)에서 BIND 9 S/W에 대한 신규 취약점 3건 및 패치 버전을 공
개하였습니다.
BIND S/W를 이용하여 네임서버를 운영 중이신 기관에서는 BIND 취약점을 이용한 보안 침해사고가 발생하지 않도록 최신 BIND S/W로 업데이트
하실 것을 권고해 드립니다.

ㅁ 취약점 정보 (3건)
o CVE-2017-3136 : An error handling synthesized records could cause an assertion failure when using DNS64 with “break-dnssec yes;”
  - (개요) DNS64 기능을 사용하는 BIND 네임서버에 특정하게 조작된 질의를 보내 서버 구동을 중단시킬 수 있는 취약점
  - (대상) DNS64 기능을 사용하고, 동시에 named.conf 파일에 “break-dnssec yes;” 설정이 되어 있는 네임서버
  - (심각수준) 중간(Medium)
  - (취약한 BIND 버전) 9.8.0 ~ 9.8.8-P1, 9.9.0 ~ 9.9.9-P6, 9.9.10b1 ~ 9.9.10rc1, 9.10.0 ~ 9.10.4-P6, 9.10.5b1 ~ 9.10.5rc1, 9.11.0 ~ 9.11.0-P3, 9.11.1b1 ~ 9.11.1rc1, 9.9.3-S1 ~ 9.9.9-S8
o CVE-2017-3137 : A response packet can cause a resolver to terminate when processing an answer containing a CNAME or DNAME
  - (개요) 캐시DNS가 특정한 순서를 갖는 CNAME 또는 DNAME 레코드가 포함된 응답을 수신할 때, 서버 구동이 중단될 수 있는 취약점
  - (대상) Recursive 질의응답을 처리하는 네임서버 (캐시 또는 캐시/권한 겸용 DNS)
  - (심각수준) 높음(High)
  - (취약한 BIND 버전) 9.9.9-P6, 9.9.10b1 ~ 9.9.10rc1, 9.10.4-P6, 9.10.5b1 ~ 9.10.5rc1, 9.11.0-P3, 9.11.1b1 ~ 9.11.1rc1, 9.9.9-S8
o CVE-2017-3138 : named exits with a REQUIRE assertion failure if it receives a null command string on its control channel
  - (개요) rndc 등 관리용 통신채널을 통해 null command를 네임서버로 보낼 경우, 서버 구동이 중단될 수 있는 취약점
  - (대상) 관리용 통신채널(rndc 등)을 사용하는 네임서버
  - (심각수준) 중간(Medium)
  - (취약한 BIND 버전) 9.9.9 ~ 9.9.9-P7, 9.9.10b1 ~ 9.9.10rc2, 9.10.4 ~ 9.10.4-P7, 9.10.5b1 ~ 9.10.5rc2, 9.11.0 ~ 9.11.0-P4, 9.11.1b1 ~ 9.11.1rc2, 9.9.9-S1 ~ 9.9.9-S9

ㅁ 조치 방법
o BIND 버전 업그레이드를 통한 조치
  - BIND 9.9.9-P8, 9.10.4-P8, 9.11.0-P5, 9.9.9-S10, 9.9.10rc3, 9.10.5rc3, 9.11.1rc3 버전으로 업그레이드
o 설정에 의한 조치
  - (CVE-2017-3136) DNS64와 “break-dnssec yes;” 설정을 동시에 사용하지 않도록 조치
  - (CVE-2017-3137, CVE-2017-3138) 설정에 의한 조치방법 없음

네임서버 설정 등 운영 관련 기술적 문의사항은 다음 연락처로 문의해주시기 바랍니다.
o 한국인터넷진흥원 인터넷주소센터 : 02-405-6498, in_chk@nic.or.kr
감사합니다.