[ 공 지 ] BIND DNS 신규 취약점 보안 업데이트 권고 2017-04-14 안녕하십니까. 호스트먼트입니다. 먼저 호스트먼트를 아껴주시고 사랑해 주시는 고객 여러분께  진심으로 감사드리며 BIND DNS 신규 취약점 보안 업데이트 권고가 있어 이를 알려드리고자 합니다. --------------------------------------------------------------------------- □ 개요 o ISC는 BIND DNS에서 발생하는 원격 서비스 거부(Denial of Service) 취약점을 해결한 보안 업데이트를 발표 □ 내용 o DNS64와 “break-dnssec yes;” 옵션을 동시에 사용하는 경우, 특정하게 조작된 질의를 보내 서버 구동을 중단시킬 수 있는    취약점(CVE-2017-3136) [1]   - 영향 받는 소프트웨어     · BIND 9.8.0 ~ 9.8.8-P1, 9.9.0 ~ 9.9.9-P6, 9.9.10b1 ~ 9.9.10rc1, 9.10.0 ~ 9.10.4-P6, 9.10.5b1 ~ 9.10.5rc1,        9.11.0 ~ 9.11.0-P3, 9.11.1b1 ~ 9.11.1rc1, 9.9.3-S1 ~ 9.9.9-S8 o DNS 캐시가 특정한 순서를 갖는 CNAME 또는 DNAME 레코드가 포함된 응답을 수신할 때, 서버 구동이 중단될 수 있는     취약점(CVE-2017-3137) [2]   - 영향 받는 소프트웨어    · BIND 9.9.9-P6, 9.9.10b1 ~ 9.9.10rc1, 9.10.4-P6, 9.10.5b1 ~ 9.10.5rc1, 9.11.0-P3, 9.11.1b1 ~ 9.11.1rc1,      9.9.9-S8 o rndc 등 관리용 통신채널을 통해 null command를 수신 시 서버 구동이 중단될 수 있는 취약점(CVE-2017-3138) [3]   - 영향 받는 소프트웨어    · BIND 9.9.9 ~ 9.9.9-P7, 9.9.10b1 ~ 9.9.10rc2, 9.10.4 ~ 9.10.4-P7, 9.10.5b1 ~ 9.10.5rc2, 9.11.0 ~ 9.11.0-P4,      9.11.1b1 ~ 9.11.1rc2, 9.9.9-S1 ~ 9.9.9-S9 □ 해결 방안 o BIND 버전 업그레이드를 통한 조치   - BIND 9.9.9-P8, 9.10.4-P8, 9.11.0-P5, 9.9.9-S10, 9.9.10rc3, 9.10.5rc3, 9.11.1rc3 버전으로 업그레이드   o 설정에 의한 조치   - CVE-2017-3136 : DNS64와 “break-dnssec yes;” 설정을 동시에 사용하지 않도록 조치 □ 용어 정리 o DNS64 : IPV4 -> IPv6 전환기술 중 하나인 NAT64(Network Address Translation between IPv6 and IPv4) 메커니즘을     지원하기 위한 DNS 표준기능 □ 기타 문의사항 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118 [참고사이트] [1] https://kb.isc.org/article/AA-01465 [2] https://kb.isc.org/article/AA-01466/ [3] https://kb.isc.org/article/AA-01471 ---------------------------------------------------------------------------                     즐거움이 있는 호스팅 서비스  [ 호스트먼트 ]