[IT 알아보기]/보안 이슈

EhostIDC. BIND 신규 취약점 발견에 따른 조치 권고

이호스트ICT 2017. 4. 14. 12:21

안녕하세요이호스트데이터센터 입니다.

현재 운영중인 서버에 DNS 서버가 있다면 아래 내용을 확인하시어 안정적인 서비스 운영이 되시길 바랍니다.

2017. 4. 12. (미 서부시간) ISC(Internet Systems Consortium, http://www.isc.org)에서 BIND 9 S/W에 대한 신규 취약점 3건 및 패치 버전을 공개하였습니다.

BIND S/W를 이용하여 네임서버를 운영 중이신 기관에서는 BIND 취약점을 이용한 보안 침해사고가 발생하지 않도록 최신 BIND S/W로 업데이트 하실 것을 권고해 드립니다.

ㅁ 취약점 정보 (3)

o CVE-2017-3136 : An error handling synthesized records could cause an assertion failure when using DNS64 with break-dnssec yes;

- (개요) DNS64 기능을 사용하는 BIND 네임서버에 특정하게 조작된 질의를 보내 서버 구동을 중단시킬 수 있는 취약점

- (대상) DNS64 기능을 사용하고동시에 named.conf 파일에 “break-dnssec yes;” 설정이 되어 있는 네임서버

- (심각수준중간(Medium)

- (취약한 BIND 버전)

9.8.0 ~ 9.8.8-P1, 9.9.0 ~ 9.9.9-P6, 9.9.10b1 ~ 9.9.10rc1, 9.10.0 ~ 9.10.4-P6, 9.10.5b1 ~ 9.10.5rc1, 9.11.0 ~ 9.11.0-P3, 9.11.1b1 ~ 9.11.1rc1, 9.9.3-S1 ~ 9.9.9-S8

o CVE-2017-3137 : A response packet can cause a resolver to terminate when processing an answer containing a CNAME or DNAME

- (개요캐시DNS가 특정한 순서를 갖는 CNAME 또는 DNAME 레코드가 포함된 응답을 수신할 때서버 구동이 중단될 수 있는 취약점

- (대상) Recursive 질의응답을 처리하는 네임서버 (캐시 또는 캐시/권한 겸용 DNS)

- (심각수준높음(High)

- (취약한 BIND 버전)

9.9.9-P6, 9.9.10b1 ~ 9.9.10rc1, 9.10.4-P6, 9.10.5b1 ~ 9.10.5rc1, 9.11.0-P3, 9.11.1b1 ~ 9.11.1rc1, 9.9.9-S8

o CVE-2017-3138 : named exits with a REQUIRE assertion failure if it receives a null command string on its control channel

- (개요) rndc 등 관리용 통신채널을 통해 null command를 네임서버로 보낼 경우서버 구동이 중단될 수 있는 취약점

- (대상관리용 통신채널(rndc )을 사용하는 네임서버

- (심각수준중간(Medium)

- (취약한 BIND 버전)

9.9.9 ~ 9.9.9-P7, 9.9.10b1 ~ 9.9.10rc2, 9.10.4 ~ 9.10.4-P7, 9.10.5b1 ~ 9.10.5rc2, 9.11.0 ~ 9.11.0-P4, 9.11.1b1 ~ 9.11.1rc2, 9.9.9-S1 ~ 9.9.9-S9

ㅁ 조치 방법

o BIND 버전 업그레이드를 통한 조치

- BIND 9.9.9-P8, 9.10.4-P8, 9.11.0-P5, 9.9.9-S10, 9.9.10rc3, 9.10.5rc3, 9.11.1rc3 버전으로 업그레이드

설정에 의한 조치

- (CVE-2017-3136) DNS64와 “break-dnssec yes;” 설정을 동시에 사용하지 않도록 조치

- (CVE-2017-3137, CVE-2017-3138) 설정에 의한 조치방법 없음

관련하여 네임서버 설정 등 운영 관련 기술적 문의사항은 

메일 (request@ehostidc.co.kr) 이나 전화 (070-7600-7311)로 연락 주시고

작업 요청 시 작업 신청서를 작성해주시기 바랍니다. (별도 비용 청구)

감사합니다.

 서비스 문의

 ◎ IDC영업팀  :  070-7600-7311

 ◎ 메일주소  :  request@ehostidc.co.kr

 ◎ 카카오톡 플러스친구  :  @이호스트데이터센터 

                                          (또는 '이호스트' 검색)

 ◎ 스카이프  :  ehostIDC Hosting Manager

 ◎ 서비스신청하기  :  http://cc.ehostidc.co.kr/index.php?/cart/


저작자표시 비영리 변경금지