[ 공 지 ] BIND DNS 신규 취약점 보안 업데이트 권고 2017-07-03 안녕하십니까. 호스트먼트입니다. 먼저 호스트먼트를 아껴주시고 사랑해 주시는 고객 여러분께  진심으로 감사드리며 BIND DNS 신규 취약점 보안 업데이트 권고가 있어 이를 알려드리고자 합니다. --------------------------------------------------------------------------- □ 개요 o ISC(nternet Systems Consortium)는 BIND DNS에서 발생하는 원격 서비스 거부 및 원격 데이터 변조 취약점을 해결한     보안 업데이트를 발표 □ 내용 o 조작된 존 전송 요청을 통해 TSIG 비밀키가 없는 사용자가 권한DNS로부터 존 데이터를 전송받을 수 있는 취약점(CVE-2017-3142) [1]    - 영향 받는 소프트웨어      · BIND 9.4.0 ~ 9.8.8, 9.9.0 ~ 9.9.10-P1, 9.10.0 ~ 9.10.5-P1, 9.11.0 ~ 9.11.1-P1, 9.9.3-S1 ~ 9.9.10-S2,         9.10.5-S1 ~ 9.10.5-S2   o 권한 없는 사용자가 DNS의 존 데이터를 동적 업데이트 할 수 있는 취약점(CVE-2017-3143) [2]    - 영향 받는 소프트웨어      · BIND 9.4.0 ~ 9.8.8, 9.9.0 ~ 9.9.10-P1, 9.10.0 ~ 9.10.5-P1, 9.11.0 ~ 9.11.1-P1, 9.9.3-S1 ~ 9.9.10-S2,         9.10.5-S1 ~ 9.10.5-S2    □ 해결 방안 o BIND 버전 업그레이드를 통한 조치   - BIND 9.9.10-P2, 9.10.5-P2, 9.11.1-P2, 9.9.10-S3, 9.10.5-S3로 업그레이드   o 설정에 의한 조치   - BIND의 접근제어 설정 시 TSIG 인증과 IP주소 제한을 함께 사용      ※ 세부 설정 방법은 ISC 접근제한리스트(ACL) 설정 가이드 참조 [3]    □ 용어 정리 o TSIG(Transaction Signatures) : 마스터 네임서버와 슬레이브 네임서버 간에 비밀키를 서로 공유하여 네임서버간 존 전송, 동적 업데이트 등     수행 시 상호 인증하는 방식 □ 기타 문의사항 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118 [참고사이트] [1] https://kb.isc.org/article/AA-01504 [2] https://kb.isc.org/article/AA-01503 [3] https://kb.isc.org/article/AA-00723/0/Using-Access-Control-Lists-ACLs-with-both-addresses-and-keys.html    ---------------------------------------------------------------------------                     즐거움이 있는 호스팅 서비스  [ 호스트먼트 ]