2009/8/3 (月) 更新
平素は弊社サービスをご利用いただきましてありがとうございます。
このたび、DNS サーバソフトウェアの BIND に、リモートからサービス運用妨害 (DoS) 攻撃を受ける脆弱性が発見されましたため、問題の概要と弊社における対応について、以下の通りご案内いたします。
本件につきまして、対象のお客様には同内容のお知らせメールをお送りしております。ご不明な点等ございましたら、同内容のお知らせメールの返信にてお問合せください。
今後ともクララオンラインをどうぞ宜しくお願いいたします。
※DNS サーバとしてクララオンラインの DNS サーバ (DNS サーバ名が clara.co.jp または clara.ne.jp で終わるサーバ)
を指定されている場合には、既に対策済みとなっておりますのでご安心ください。
BIND には、サービス運用妨害 (DoS) 攻撃を受ける問題があります。
攻撃者が脆弱な DNS サーバに対して特殊な Dynamic Update パケットを送信することで、
リモートから BIND を停止させることができます。BIND が停止した場合、
当該サーバを DNS サーバとして利用しているドメイン名の名前解決に問題が生じます。
なお、今回の脆弱性におきましては、BIND の設定において Dynamic Update 機能を無効化している場合でも、未対策のバージョンを利用している場合には、 脆弱性の影響を受けますので、アップデートをお勧めいたします。
この脆弱性には、CVE 識別番号としてCVE-2009-0696 が割り当てられています。
詳細に関しましては、JPCERT/CC や JPRS 等の情報をご参照ください。
OS のディストリビュータである Red Hat 社ならびに CentOS Project より、 本脆弱性を修正した BIND パッケージが提供されておりますので、BIND パッケージの更新をお勧めいたします。
更新につきましては、お客様にて実施いただく方法と、弊社にて更新作業を代行 させていただく方法とがございます。
※本脆弱性は弊社「サーバソフトウェアの管理ポリシー」の基準には合致いたしませんが、 本脆弱性の影響を受けた場合には、DNS サーバが停止してしまうため、 希望されるお客様を対象に、弊社にて更新作業を実施させていただくことといたしました。
お客様にてアップデートを行われる場合には、修正済みパッケージをダウンロー ドいただき、更新作業を実施していただきます。具体的な手順につきましてはお客様による BIND 9 アップデート方法をご参照ください。
アップデート方法がわからないお客様を対象に、弊社にてアップデート作業を
代行いたします。弊社による BIND のアップデート代行を希望されるお客様は、
以下のオンラインフォームに必要事項をご記入ください。
(サーバのIPアドレス等の間違いを防ぐため、メールやお電話によるお申し込みは受け付けることが
出来ませんので、必ずフォームにてご依頼ください。)
なお、弊社にて作業を代行する場合は、DNS キャッシュ機能を無効にする設定も併せて実施させていただきます。あらかじめご了承ください。
※作業時間は原則として弊社営業時間内 (平日10時~18時) とさせていただいております。 作業日・作業時間のご指定はいただけませんので、あらかじめご了承ください。なお、 BIND の更新作業中には、数秒程度、名前解決が遅延する場合がございますが、 セカンダリ DNS サーバが動作していれば名前解決自体は可能です。
サーバ上の BIND パッケージが脆弱性対応済みのバージョンとなっているかを 確認するには、以下の各 OS 毎のパッケージのバージョン情報をご参照ください。
| Red Hat Enterprise Linux 5 | bind-9.3.4-10.P1.el5_3.3以降 |
| Red Hat Enterprise Linux 4 | bind-9.2.4-30.el4_8.4以降 |
| Red Hat Enterprise Linux 3 | bind-9.2.4-25.el3.i386以降 |
| CentOS5 | bind-9.3.4-10.P1.el5_3.3以降 |
| CentOS4 | bind-9.2.4-30.el4_8.4以降 |
| CentOS3 | bind-9.2.4-25.el3以降 |