|
|
|
관리자 (posted by 2018-01-18) |
|
|
|
|
722 |
|
|
|
[KISA] BIND 신규 취약점 발견에 따른 조치 권고 |
|
|
|
[본 메일은 기관의 네임서버(DNS) 운영 담당자에게 전달하여 주시기 바랍니다.]
안녕하세요. 한국인터넷진흥원 인터넷주소센터에서 알려드립니다.
2018. 1. 16. (미 서부시간) ISC(Internet Systems Consortium, http://www.isc.org)에서 BIND S/W에 대한 신규 취약점 1건 및 패치 버전을 공개하였습니다.
BIND S/W를 이용한 네임서버(DNS) 운영 기관은 신규 취약점을 악용한 보안 침해사고를 예방하기 위해 최신 BIND S/W로 업데이트 할 것을 권고해 드립니다.
□ 취약점 정보 (1건)
o CVE-2017-3145 : Improper fetch cleanup sequencing in the resolver can cause named to crash
- (개요) BIND 네임서버가 리커시브 질의 응답 처리 과정에서 메모리 해제 후 사용(Use-After-Free) 오류가 발생하여 네임서버 구동이 중단될 수 있는 취약점
- (대상) DNSSEC 서명 검증 기능을 사용하는 캐시DNS
- (심각수준) 높음(High)
- (공격위협) 원격 서비스 거부 공격에 악용 가능
- (취약점 악용한 공격코드) 아직 발견된 바 없음
- (취약한 BIND 버전) 9.0.0 ~ 9.8.x, 9.9.0 ~ 9.9.11, 9.10.0 ~ 9.10.6, 9.11.0 ~ 9.11.2, 9.9.3-S1 ~ 9.9.11-S1, 9.10.5-S1 ~ 9.10.6-S1, 9.12.0a1 ~ 9.12.0rc1
□ 조치 방법
o BIND 버전 업그레이드를 통한 조치
- BIND 9.9.11-P1, 9.10.6-P1, 9.11.2-P1, 9.12.0rc2, 9.9.11-S2, 9.10.6-S2로 업그레이드
o 설정에 의한 조치
- 임시 조치로 DNSSEC 서명 검증 기능 비활성화
※ 구동중단 발생 시 임시조치 방안이며, 문제 해결을 위해 BIND 버전 업그레이드 필요
□ 문의 사항
o 네임서버 설정 등 운영 관련 기술적 문의사항은 다음 연락처로 문의하여 주시기 바랍니다.
- 한국인터넷진흥원 인터넷주소센터 : 02-405-6498, in_chk@nic.or.kr
감사합니다. |
|
|
|
|
|
|
|