サービス情報

クララオンライン|カスタマーサポート

ホーム > お知らせ一覧 > お知らせ記事

お知らせ

bind の脆弱性 (CVE-2016-1285,CVE-2016-1286) に関する注意喚起

 平素は弊社サービスをご利用いただきましてありがとうございます。

 このたび、DNS サーバソフトウェアの「bind」にリモートからサービス運用妨害 (DoS) の原因となる脆弱性が発見されましたため、問題の概要と弊社における対応について、下記の通りご案内いたします。

 本件につきまして、お客様には同内容のお知らせメールをお送りしております。ご不明な点等ございましたら、お知らせメールの返信にてお問合せください。
今後ともクララオンラインをどうぞ宜しくお願いいたします。


本脆弱性の適用作業では、bind の再起動が発生致します。

問題の概要

RedHat Enterprise Linux(RHEL) もしくは CentOS に含まれる bind パッケージをご利用のサーバにおいて、不正なパケットがnamedの制御チャンネルに送られた場合、namedが異常終了を起こす障害が発生します。

RedHat Enterprise Linux(RHEL) もしくは CentOS に含まれる bind パッケージをご利用のサーバにおいて、署名レコードを含む応答を受け取った際の内部処理において、namedが異常終了を起こす障害が発生します。

この脆弱性には、CVE 識別番号として CVE-2016-1285,CVE-2016-1286 が割り当てられています。


詳細に関しましては、以下の情報もご参照ください。

影響を受けるOSとサーバ

Linux 系 OS を使用し、bind をインストールされている以下のサーバが対象となります。
クララオンラインで主に提供しているOSは以下の通りです。

  • RHEL4 ELS
  • CentOS5 / RHEL5
  • CentOS6 / RHEL6
  • CentOS7 / RHEL7

※詳細なバージョンに関しましては bind のバージョン確認ページをご参照ください。
http://faq.clara.jp/index.php?solution_id=1319
※2016年3月17日現在の情報となります。

※RHEL4は有償サポート延長プログラムをご購入のお客様のみがアップデート可能となります。
※CentOS 4は、ベンダーのサポート終了のため、パッチが提供されておりませんので、アップデートはできません。
※CentOS4/RHEL4 以前 OS をご利用のお客様のは、本脆弱性に対応できないため、サーバの乗り換え等をご検討ください。

・OSに関するご案内
http://support.clara.jp/os/

・限定サポートポリシー(サポートが切れたOSに関しまして)
http://support.clara.jp/os/limited-support.htm


※Microsoft Windows のサーバは、弊社サービス環境におきましては本脆弱性の影響はございません。

対象となるbindのバージョン

本脆弱性は、下記のバージョンのBIND 9が該当します。

脆弱性(CVE-2016-1285)の影響を受けるバージョン
bind 9.2.0 から 9.8.8 までのバージョン
bind 9.9.0 から 9.9.8-P3 までのバージョン
bind 9.10.0 から 9.10.3-P3 までのバージョン

脆弱性(CVE-2016-1286)の影響を受けるバージョン
bind 9.0.0 から 9.8.8 までのバージョン
bind 9.9.0 から 9.9.8-P3 までのバージョン
bind 9.10.0 から 9.10.3-P3 までのバージョン


対応策

 OS のディストリビュータである Red Hat 社および CentOS より、本脆弱性を修正した パッケージが提供されましたので、弊社にて bind パッケージのアップデート作業を実施いたします。
なお、アップデート後、bindの再起動が自動的に発生致します。

RHEL4 ELSにつきましては、Red Hat 社より修正パッケージがまだリリースされておりませんので、リリースされ次第弊社でのアップデート作業を実施させていただきます。
 ※お客様にてサーバのパスワードの変更を行っていたり、ssh の port 番号の変更、rootユーザにてログインできない設定にされている場合など、弊社にてのアップデートが出来ないことがございますので、予めご了承ください。


 弊社でのアップデート作業を待たずにお客様にて作業を実施していただくことも可能です。

お客様による bind アップデート方法

お客様にてアップデートを行われる場合には、修正済みパッケージを ダウンロードいただき、更新作業の実施が可能でございます。具体的な手順につきましてはお客様による bind アップデート方法をご参照ください。

クララオンラインでの bind アップデート作業

bind パッケージ更新の流れは以下になりますので、ご確認ください。

1. パッケージ更新 <弊社作業>

2016年3月23日(水)午前10時以降に弊社にて順次パッケージの更新を実施致します。

  • 特に申請をいただく必要はございません。
  • 実施時間はご指定いただけません。あらかじめご了承下さい。
  • 弊社での作業実施を ■希望されない■ お客様は、 2016年3月23日(水)午前9時までに本メールの返信にてご連絡をお願い致します。
- 連絡先
security-updates@clara.ad.jp
- 連絡項目
お客様番号:
お客様名 :
ホスト名 :
IPアドレス:
ご希望内容:
※ご依頼はご登録担当者様よりお願いいたします。