AIX5.2, 5.3におけるBINDの脆弱性

公開日： 2006年9月15日
更新日： 2006年12月4日、更新概要は更新履歴を参照してください。

オープン・ソース・ソフトウェアである Berkeley Internet Name Domain (BIND) サーバーにおいて脆弱性が発見されました。この脆弱性によって、バージョン 9.3.0 以降の特定の BIND 9.x は、再帰クエリ(recursive queries) を使ったサービス不能(denial-of-service, DoS)攻撃を受ける可能性があります。AIX5.2およびAIX5.3に搭載されている BIND9.2.1 はこの脆弱性の影響を受けませんが、潜在的な脆弱性が存在するため、 BIND のディストリビューションである Internet Software Consortium(ISC) から修正プログラムが提供されています。これに合わせて、IBM は AIX に搭載されている BIND 9.2.1 のための修正プログラムを提供します。

注：当該脆弱性は CERT 脆弱性ノーツ VU#697164 (英語)および VU#915404 (英語)にて同時に報告されましたが、BIND 9.2.1 は VU#697164 (英語)のみ影響があります。

AIX5.2 および AIX5.3

AIX では複数のバージョンの BIND をサポートしております。BIND 9 が使用されているかは以下のコマンドで確認してください。
# ls -al /usr/sbin/named

BIND 9 が使用されている場合は、/usr/sbin/named のリンク先が
/usr/sbin/named9 と表示されます。

BIND 9 使用時の出力例：
lrwxrwxrwx 1 root system 16 Aug 11 01:15 /usr/sbin/named ->
/usr/sbin/named9

次に、BIND9 がネーム・サーバーとして稼動しているかは以下のコマンドで確認してください。
# lssrc -s named

BINDが稼動している場合は、プロセス ID と named デーモンの状況が表示されます。
BIND 稼動時の出力例：

Subsystem		Group		PID		Status
named		tcpip		213216		活動状態

対応方法は3種類あります。修正プログラムの影響範囲が異なるため、ご使用のシステムに見合った方法を選択して下さい。

• Aの正式な修正は、開発部門が規定しているテストをパスしているものですので最も推奨される方法ですが、当問題に関係しない修正も合わせて適用されますので、影響範囲が大きくなります。
• Bの暫定的な修正は当問題に関する修正だけが含まれますが、修正プログラムの内容については限定的なテストのみが行われています。Aのように当問題に関係のない修正を適用したくない場合に選択を検討して下さい。なお、Bを選択した場合には出来るだけ早くAの正式な修正を適用されることをお勧めします。
• Cの回避策は修正を適用せずにシステムの設定で問題が発生する箇所を回避するものです。本番システムの変更を行いたくないケースで修正プログラムを適用出来ない場合に選択して下さい。

以下の修正プログラムが提供されます。

APAR number for AIX 5.2.0: IY89178 (now available)

APAR number for AIX 5.3.0: IY89169 (now available)

ftp://aix.software.ibm.com/aix/efixes/security/bind9_ifix.tar.Z

Filename Applied for		sum		md5
IY89178_07.060905.epkg.Z for AIX5.2 TL07		58539		3033		eb47c83e55148b1ca56db8185d1d209e
IY89178_08.060905.epkg.Z for AIX5.2 TL08		57923		3033		966b9b799c750114d5d991ed4657354d
IY89178_09.060905.epkg.Z for AIX5.2 TL09		29260		3032		76729cef9c209228118c5f69caff2ccf
IY89169_03.060905.epkg.Z for AIX5.3 TL03		32955		2964		e7be01b53eecf1ff4938262861798e85
IY89169_04.060905.epkg.Z for AIX5.3 TL04		51411		2963		af54f94028504d70646cb4ca0c40b112
IY89169_05.060905.epkg.Z for AIX5.3 TL05		50142		2961		90290712ffc95778cf6a0a367a82dc62

a.	sum と md5 値は sum コマンドにて確認できます。ファイルの復元後、暫定フィックスの sum 値が正確であるか、PGP 署名ファイルが含まれているかを確認してください。問題があるとき、ファイルの解凍、復元作業とファイルダウンロード用のウェブ・サイト・アドレスを再確認してください。問題を判明できない場合、SWMA/PA テクニカルサポート総合窓口へお問い合わせください。
b.	暫定フィックスが適切な AIX バージョンとテクノロジー・レベルに適用されることを確保するため、インストール時、前提ファイルの自動確認が行われます。暫定フィックスの適用には、以下のレベルの bos.net.tcp.client ファイルセットが前提となります。
	Interim Fix Fileset Level (lower limit) Fileset Level (upper limit) IY89178_07.060905.epkg.Z 5.2.0.77 5.2.0.77 IY89178_08.060905.epkg.Z 5.2.0.88 5.2.0.88 IY89178_09.060905.epkg.Z 5.2.0.95 5.2.0.96 IY89169_03.060905.epkg.Z 5.3.0.32 5.3.0.32 IY89169_04.060905.epkg.Z 5.3.0.44 5.3.0.44 IY89169_05.060905.epkg.Z 5.3.0.50 5.3.0.51 bos.net.tcp.client ファイルセットのバージョンは以下のコマンドにて確認できます。 # lslpp -L bos.net.tcp.client
c.	暫定フィックスの適用前に mksysb を取ることを推奨します。そして、取得した mksysb が実行できるかどうかも確認しておいてください。
d.	暫定フィックスは完全なリグレッション・テストが行われていません。そのため、IBM はすべての環境で正しく稼動することを保証しておりません。お客様の自己責任で適用いただくことをご了承ください。

http://www14.software.ibm.com/webapp/set2/sas/f/aix.efixmgmt/home.html(英語)

1.	named9 デーモンを停止してください。 # stopsrc -s named
2.	暫定フィックスのインストール・プレビューを行ってください。 # emgr -e ipkg_name -p ( ipkg_name はご使用の AIX レベルと一致する暫定フィックス名です。)
3.	暫定フィックスを適用してください。 # emgr -e ipkg_name -X ( ipkg_name はご使用の AIX レベルと一致する暫定フィックス名です。 "X" オプションは emgr の実行に十分なスペースがない場合にファイルシステムの拡張を試みます。)
4.	named9デーモンを始動してください。 # startsrc -s named

AIX 5.2：
	http://publib16.boulder.ibm.com/doc_link/en_US/a_doc_lib/files/ aixfiles/named.conf.htm(英語)
AIX 5.3：
	http://publib.boulder.ibm.com/infocenter/pseries/v5r3/topic/ com.ibm.aix.files/doc/aixfiles/named.conf.htm(英語)

SWMA/PAテクニカルサポート総合窓口
（有効なメンテナンス契約IBM番号をお持ちのお客様）
電話：0120-557-971
受付時間：月〜金 9:00〜17:00（祝日、12/30〜1/3を除く）

	IBM SECURITY ADVISORY: Potential denial of service vulnerability in BIND 9.2.1（英語）
	BIND vulnerable to an INSIST failure via sending of multiple recursive queries（英語）

上に戻る