ISC BINDにDoS攻撃の脆弱性について(CVE-2015-5722 /CVE-2015-5986 )

下記、ISC BIND 9に対する脆弱性が発表されておりますが、これらはEMC機器に影響を与えますでしょうか？

特に、VNX(Block),MDS-Switch, ESRS_GW, Recoverpoint ,について、気にしております。

影響がある場合、対策も含めてご案内頂けると幸いです。

●脆弱性の概要

CVE-2015-5722

ISC BINDは、名前解決結果が正当であるか否かを検証するためのDNSSECリソースレコード(RR)の処理に不具合があり、

DNSSEC検証機能が有効になっている場合、リモートから攻撃可能なサービス拒否(DoS)攻撃の脆弱性がある。

攻撃者は、不正なDNSSEC RRを含むゾーンデータを準備した後、

そのDNSSEC RRを応答に含む名前解決を実行するように仕向けることにより、

不正なDNSSEC RRを含む応答を送信し、対象をサービス不能(DoS)状態に陥らせることができる。

ISC BINDを搭載したフルリゾルバ(キャッシュDNSサーバ)が本脆弱性の影響を受け、

権威DNSサーバにおいても内部で名前解決を実施している場合には影響を受ける。

ISC BIND9.7以降は、デフォルトでDNSSEC検証機能が有効になっている。

CVE-2015-5986

ISC BINDは、OpenPGPの公開鍵をDNSで配布するOPENPGPKEYリソースレコード(RR)の処理に不具合があり、

リモートから攻撃可能なサービス拒否(DoS)攻撃の脆弱性がある。

攻撃者は、不正なOPENPGPKEY RRを含むゾーンデータを準備した後、

そのOPENPGPKEY RRを応答に含む名前解決を実行するように仕向けることにより、

不正なOPENPGPKEY RRを含む応答を送信し、対象をサービス不能(DoS)状態に陥らせることができる。

ISC BINDを搭載したDNSサーバ全てが、本脆弱性の影響を受ける。

●IPA、JPCERTの注意喚起状況

CVE-2015-5986に対してJPCERT/CCから、以下のように注意喚起がされている。

http://www.jpcert.or.jp/at/2015/at150031.html

●影響を受ける製品

CVE-2015-5722

ISC BIND 9.10.0から9.10.2-P3までの9.10系列

ISC BIND 9.9.0から9.9.7-P2までの9.9系列

ISC BIND 9.0.0から9.8.8までの9.0～9.8系列

Canonical Ubuntu 12.04LTS

Canonical Ubuntu 14.04LTS

Canonical Ubuntu 15.04

Debian Project Debian Linux 6

Debian Project Debian Linux 7

Debian Project Debian Linux 8

FreeBSD FreeBSD 9.3

FreeBSD FreeBSD 9

RedHat RHEL Desktop Workstation(v.5 client) RedHat Enterprise Linux(v.5 server) RedHat Enterprise Linux Desktop(v.5 client) RedHat Enterprise Linux Desktop(v.6) RedHat Enterprise Linux Desktop(v.7) RedHat Enterprise Linux HPC Node(v.6) RedHat Enterprise Linux HPC Node(v.7) RedHat Enterprise Linux Server(v.6) RedHat Enterprise Linux Server(v.7) RedHat Enterprise Linux Workstation(v.6) RedHat Enterprise Linux Workstation(v.7) Novell SUSE Linux Enterprise Desktop 11 SP3 Novell SUSE Linux Enterprise Desktop 11 SP4 Novell SUSE Linux Enterprise Server 11 SP2 LTSS Novell SUSE Linux Enterprise Server 11 SP3 Novell SUSE Linux Enterprise Server 11 SP4 Novell SUSE Linux Enterprise Server 11 SP3 for VMware Novell SUSE Linux Enterprise Desktop 12 Novell SUSE Linux Enterprise Server 12 Novell SUSE Linux Enterprise Software Development Kit 11 SP3 Novell SUSE Linux Enterprise Software Development Kit 11 SP4 Novell SUSE Linux Enterprise Software Development Kit 12

CVE-2015-5986

ISC BIND 9.10.2から9.10.2-P3までの9.10系列

ISC BIND 9.9.7から9.9.7-P2までの9.9系列

●推奨される対策

ISC BIND

ベンダの提供するアップデートを適用する。また、CVE-2015-5722に対しては、

DNSSEC検証機能を無効に設定することが推奨されているが、DNSSECによる保護機

能も無効となるため、注意が必要である。

http://www.isc.org/downloads

Ubuntu

ベンダの提供するアップデートを適用する。

http://www.ubuntu.com/usn/usn-2728-1/

Debian

ベンダの提供するアップデートを適用する[1]。

https://security-tracker.debian.org/tracker/CVE-2015-5722

[1]Debian Project Debian Linux 6は対象外

FreeBSD

ベンダの提供するアップデートを適用する。

https://www.freebsd.org/security/advisories/FreeBSD-SA-15:23.bind.asc

RedHat

ベンダの提供するアップデートを適用する。

[2]https://rhn.redhat.com/errata/RHSA-2015-1705.html

[3]https://rhn.redhat.com/errata/RHSA-2015-1706.html

[4]https://rhn.redhat.com/errata/RHSA-2015-1707.html

Novell

ベンダの提供するアップデートを適用する。

[5]https://www.suse.com/support/update/announcement/2015/suse-su-20151480-1.html

[6]https://www.suse.com/support/update/announcement/2015/suse-su-20151481-1.html