바로가기 메뉴
본문내용 바로가기
메인메뉴 바로가기



Customer Center

Notice · Security Issue · Account Guide · Global Traffic Test

HOME > Customer Center > Security Issue

보안이슈

EhostIDC. BIND 신규 취약점 발견에 따른 조치 권고
2017.04.14

안녕하세요. 이호스트데이터센터 입니다.

현재 운영중인 서버에 DNS 서버가 있다면 아래 내용을 확인하시어 안정적인 서비스 운영이 되시길 바랍니다.

2017. 4. 12. (미 서부시간) ISC(Internet Systems Consortium, http://www.isc.org)에서 BIND 9 S/W에 대한 신규 취약점 3건 및 패치 버전을 공개하였습니다.

BIND S/W를 이용하여 네임서버를 운영 중이신 기관에서는 BIND 취약점을 이용한 보안 침해사고가 발생하지 않도록 최신 BIND S/W로 업데이트 하실 것을 권고해 드립니다.

ㅁ 취약점 정보 (3)

o CVE-2017-3136 : An error handling synthesized records could cause an assertion failure when using DNS64 with break-dnssec yes;

- (개요) DNS64 기능을 사용하는 BIND 네임서버에 특정하게 조작된 질의를 보내 서버 구동을 중단시킬 수 있는 취약점

- (대상) DNS64 기능을 사용하고, 동시에 named.conf 파일에 “break-dnssec yes;” 설정이 되어 있는 네임서버

- (심각수준) 중간(Medium)

- (취약한 BIND 버전)

9.8.0 ~ 9.8.8-P1, 9.9.0 ~ 9.9.9-P6, 9.9.10b1 ~ 9.9.10rc1, 9.10.0 ~ 9.10.4-P6, 9.10.5b1 ~ 9.10.5rc1, 9.11.0 ~ 9.11.0-P3, 9.11.1b1 ~ 9.11.1rc1, 9.9.3-S1 ~ 9.9.9-S8

o CVE-2017-3137 : A response packet can cause a resolver to terminate when processing an answer containing a CNAME or DNAME

- (개요) 캐시DNS가 특정한 순서를 갖는 CNAME 또는 DNAME 레코드가 포함된 응답을 수신할 때, 서버 구동이 중단될 수 있는 취약점

- (대상) Recursive 질의응답을 처리하는 네임서버 (캐시 또는 캐시/권한 겸용 DNS)

- (심각수준) 높음(High)

- (취약한 BIND 버전)

9.9.9-P6, 9.9.10b1 ~ 9.9.10rc1, 9.10.4-P6, 9.10.5b1 ~ 9.10.5rc1, 9.11.0-P3, 9.11.1b1 ~ 9.11.1rc1, 9.9.9-S8

o CVE-2017-3138 : named exits with a REQUIRE assertion failure if it receives a null command string on its control channel

- (개요) rndc 등 관리용 통신채널을 통해 null command를 네임서버로 보낼 경우, 서버 구동이 중단될 수 있는 취약점

- (대상) 관리용 통신채널(rndc )을 사용하는 네임서버

- (심각수준) 중간(Medium)

- (취약한 BIND 버전)

9.9.9 ~ 9.9.9-P7, 9.9.10b1 ~ 9.9.10rc2, 9.10.4 ~ 9.10.4-P7, 9.10.5b1 ~ 9.10.5rc2, 9.11.0 ~ 9.11.0-P4, 9.11.1b1 ~ 9.11.1rc2, 9.9.9-S1 ~ 9.9.9-S9

ㅁ 조치 방법

o BIND 버전 업그레이드를 통한 조치

- BIND 9.9.9-P8, 9.10.4-P8, 9.11.0-P5, 9.9.9-S10, 9.9.10rc3, 9.10.5rc3, 9.11.1rc3 버전으로 업그레이드

o 설정에 의한 조치

- (CVE-2017-3136) DNS64와 “break-dnssec yes;” 설정을 동시에 사용하지 않도록 조치

- (CVE-2017-3137, CVE-2017-3138) 설정에 의한 조치방법 없음

관련하여 네임서버 설정 등 운영 관련 기술적 문의사항은 메일 (request@ehostidc.co.kr) 이나 전화 (070-7600-7311 / 070-5137-4402)로 연락 주시고

작업 요청 시 작업 신청서를 작성해주시기 바랍니다. (별도 비용 청구)

감사합니다.

첨부파일