관리자
(posted by 2017-02-09)
[KISA] BIND 보안 취약점 발견에 따른 조치 권고
안녕하세요. 한국인터넷진흥원 인터넷주소센터에서 알려드립니다.
2017. 2. 8. (현지시간) ISC(Internet Systems Consortium, http://www.isc.org)에서 BIND 9 S/W에 대한 신규 취약점 1건 및 패치 버전을 공
개하였습니다.
BIND S/W를 이용하여 네임서버를 운영 중이신 기관에서는 BIND 취약점을 이용한 보안 침해사고가 발생하지 않도록 최신 BIND S/W로 업데이트
하실 것을 권고해 드립니다.
o CVE-2017-3135 : Combination of DNS64 and RPZ Can Lead to Crash
- DNS64와 RPZ을 동시에 설정하여 사용하는 경우, 구동 중 오류(assertion fault)로 인해 서버 구동이 중단될 수 있는 취약점
- DNS64의 AAAA 레코드 변환응답 처리 절차와 RPZ의 응답레코드 재처리 절차 간에 상호 DNS응답처리 상태관리에서 충돌이 발생하는 경우
서버 구동 중단 발생
* DNS64 : IPV4 -> IPv6 전환기술 중 하나인 NAT64(Network Address Translation between IPv6 and IPv4) 메커니즘을 지원하기 위한 DNS
표준기능
* RPZ(Response Policy Zone) : DNS응답 중 지정된 조건의 질의, 응답코드 등에 해당하는 응답인 경우 이를 정책(Policy)으로 지정된 형태로 변형된 응답처리를
하는 기능
- DNS64와 RPZ를 동시에 설정 사용하는 경우에 취약 (권한DNS/캐시DNS 동일)
- 취약점 해당 버전 범위 : BIND DNS 9.9.3~9.9.9-P5, 9.9.10b1, 9.10.0~9.10.4-P5, 9.10.5b1, 9.11.0~9.11.0-P2, 9.11.1b1
- 심각수준 : High
- 공격위협 : 원격 서비스 거부공격에 악용 가능. 원격 구동중단 유발
- 취약점 악용한 공격코드 : 아직 발견된 바 없음
o 조치 방법
- 설정에 의한 조치 방법 : DNS64와 RPZ 동시에 사용하지 않도록 설정
- BIND 버전 업그레이드 방법 : 아래 취약점 조치 배포버전으로 업그레이드 조치
BIND 9.9.9-P6
BIND 9.10.4-P6
BIND 9.11.0-P3
네임서버 설정 등 운영 관련 기술적 문의사항은 다음 연락처로 문의해주시기 바랍니다.
o 한국인터넷진흥원 인터넷주소센터 : 02-405-6498, in_chk@nic.or.kr
감사합니다.
592
[KISA] BIND 보안 취약점 발견에 따른 조치 권고
관리자
2017-02-09
591
[한국인터넷진흥원] 북 노동당 창건일(10.1) 관련 사이버위협 발생 대비 보안강화 요청
관리자
2017-02-09
590
[한국인터넷진흥원] 사이버위협 발생 대비 보안 강화 요청
관리자
2017-02-09
589
NSA 해킹(?) 불똥 튄 보안업체, 취약점 발견과 패치 ‘줄줄’
관리자
2017-02-09
588
엎친데 덮친 인터파크, ‘네이버 로그인 피싱’까지 발견
관리자
2017-02-09
587
개인정보보호 자율규제단체 지정
관리자
2017-02-09
586
MS, 8월 정기 보안 업데이트 발표...긴급 5종
관리자
2017-02-09
585
[한국인터넷진흥원] 사이버위협 발생 대비 보안 강화 요청
관리자
2017-02-09
584
디도스 공격 진원지, 러시아·동유럽 아냐
관리자
2017-02-09
583
저가 무선 키보드에서 치명적인 취약점 발견
관리자
2017-02-09
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
제목
글쓴이