Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - BIND が、Upstream の再帰フェッチコンテキストでクリーンアップ操作を不適切に順序付けしていました。これにより、場合によっては use-after-free エラーが発生し、named でアサーション失敗とクラッシュが発生する可能性があります。影響を受けるのは、BIND のもの 9.0.0 ～ 9.8.x、 9.9.0 ～ 9.9.11、 9.10.0 ～ 9.10.6、 9.11.0 ～ 9.11.2、9.9.3-S1 ～ 9.9.11-S1、9.10.5-S1 ～ 9.10.6-S1、 9.12.0a1を9.12.0rc1に。 （CVE-2017-3145）

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

bindの更新プログラムが、Red Hat Enterprise Linux 6で利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高と評価しています。詳細な重要度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。BIND（Berkeley Internet Name Domain）は、DNS（ドメインネームシステム）プロトコルの実装です。BINDには、DNSサーバー（named）、リゾルバーライブラリ（DNSとインターフェイス接続する時に使用するアプリケーション用ルーチン）、DNSサーバーが正常動作していることを検証するツールが含まれます。セキュリティ修正プログラム：* BINDがアップストリームでの再帰フェッチコンテキストでクリーンアップ操作を内部的に処理する方法に、サービス拒否につながるメモリ解放後使用（use-after-free）の欠陥が見つかりました。リモートの攻撃者がこの欠陥を悪用して、DNSSEC検証リゾルバーとして作用し、特別に細工されたDNSリクエストによるアサーション失敗でnamedを予期せず終了させる可能性があります。（CVE-2017-3145）Red Hatは、この問題を報告してくれたISCに感謝の意を表します。アップストリームdeではJayachandran Palanisamy氏（Cygate AB）を最初の報告者として認めています。

bindの更新プログラムが、Red Hat Enterprise Linux 7で利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高と評価しています。詳細な重要度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。BIND（Berkeley Internet Name Domain）は、DNS（ドメインネームシステム）プロトコルの実装です。BINDには、DNSサーバー（named）、リゾルバーライブラリ（DNSとインターフェイス接続する時に使用するアプリケーション用ルーチン）、DNSサーバーが正常動作していることを検証するツールが含まれます。セキュリティ修正プログラム：* BINDがアップストリームでの再帰フェッチコンテキストでクリーンアップ操作を内部的に処理する方法に、サービス拒否につながるメモリ解放後使用（use-after-free）の欠陥が見つかりました。リモートの攻撃者がこの欠陥を悪用して、DNSSEC検証リゾルバーとして作用し、特別に細工されたDNSリクエストによるアサーション失敗でnamedを予期せず終了させる可能性があります。（CVE-2017-3145）Red Hatは、この問題を報告してくれたISCに感謝の意を表します。アップストリームdeではJayachandran Palanisamy氏（Cygate AB）を最初の報告者として認めています。

bindの更新プログラムが、Red Hat Enterprise Linux 6.4 Advanced Update Support、Red Hat Enterprise Linux 6.5 Advanced Update Support、Red Hat Enterprise Linux 6.6 Advanced Update Support、Red Hat Enterprise Linux 6.6 Telco Extended Update Support、Red Hat Enterprise Linux 6.7 Extended Update Supportで利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高と評価しています。詳細な重要度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。BIND（Berkeley Internet Name Domain）は、DNS（ドメインネームシステム）プロトコルの実装です。BINDには、DNSサーバー（named）、リゾルバーライブラリ（DNSとインターフェイス接続する時に使用するアプリケーション用ルーチン）、DNSサーバーが正常動作していることを検証するツールが含まれます。セキュリティ修正プログラム：* bind：リゾルバーで不適切なフェッチクリーンアップシーケンシングを実行すると、namedのクラッシュを引き起こす（CVE-2017-3145）影響、CVSSスコア、その他の関連情報を含むセキュリティの問題の詳細については、「参考」セクションにリストされているCVEページを参照してください。Red Hatは、この問題を報告したISCに感謝の意を表します。アップストリームdeではJayachandran Palanisamy氏（Cygate AB）を最初の報告者として認めています。

リゾルバーで不適切なフェッチクリーンアップシーケンシングを実行すると、namedのクラッシュを引き起こす可能性があります：BINDがアップストリームの再帰フェッチコンテキストでクリーンアップ操作を内部的に処理する方法に、サービス拒否につながるメモリ解放後使用（Use After Free）の欠陥が見つかりました。リモートの攻撃者がこの欠陥を使用し、DNSSEC検証リゾルバーとして、特別に細工されたDNSリクエストでアサーション失敗を引き起こし、namedを予期せず終了させる可能性があります。（CVE-2017-3145）

Cygate ABのJayachandran Palnisamy氏は、DNSサーバー実装であるBINDが、クリーンアップ操作を不適切にシーケンス処理しており、場合によってメモリ解放後使用（Use After Free）エラーを引き起こし、namedのアサーション失敗とクラッシュを引き起こすことを報告しました。

Debian 7「Wheezy」では、これらの問題はバージョン1:9.8.4.dfsg.P1-6+nmu2+deb7u19で修正されました。

bind9 パッケージをアップグレードすることを推奨します。

注: Tenable Network Securityは、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

CVE-2017-3145を修正するBIND 9.11.2-P1に更新します。また、現在サポートされているマイナーバージョンにリベースします。

注意：Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

このbindの更新では、複数の問題を修正します。

以下のセキュリティの問題が修正されました。

  - CVE-2017-3145：クリーンアップ中の不適切なシーケンス処理により、namedでアサーションの失敗とクラッシュを引き起こすメモリ解放後使用（use-after-free）エラーに至る可能性がありました（bsc#1076118）。

以下のセキュリティ以外の問題が、修正されました。

  - named.rootファイルが更新されました（bsc#1040039）

  - DNSSEC root KSKロールオーバー用のbind.keysを更新します（bsc#1047184）

この更新はSUSEからインポートされました：SLE-12-SP1：更新プロジェクトを更新します。

解析器中不正确的提取清理顺序可能导致 named 崩溃。在 BIND 内部处理上游递归提取环境中清除操作的方式中发现可导致拒绝服务的释放后使用缺陷。远程攻击者可利用此缺陷，通过特制的 DNS 请求，使 named 作为 DNSSEC 验证解析器意外退出，并出现断言失败。(CVE-2017-3145)

根据其自我报告的版本，远程名称服务器上运行的 ISC BIND 9 实例为低于 9.9.11-S2 或 9.9.11-P1 的 9.9.x，低于 9.10.6-S2 或 9.10.6-P1 的 9.10.x，或低于 9.11.2-P1 的 9.11.x。因而受到远程拒绝服务漏洞的影响。

安全修复：- 在 BIND 内部处理上游递归提取环境中清除操作的方式中发现可导致拒绝服务的释放后使用缺陷。远程攻击者可利用此缺陷，通过特制的 DNS 请求，使 named 作为 DNSSEC 验证解析器意外退出，并出现断言失败。(CVE-2017-3145)

为 Slackware 13.0、13.1、13.37、14.0、14.1、14.2 以及当前版本提供了用于修复安全问题的新 bind 程序包。

远程 OracleVM 系统缺少解决关键安全更新的必要补丁：有关详细信息，请参阅 Oracle VM 安全公告 OVMSA-2020-0021。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
221206	Linux Distros のパッチ未適用の脆弱性: CVE-2017-3145	Nessus	Misc.	2025/3/4	2025/3/4	high
106233	CentOS 6：bind（CESA-2018:0101）	Nessus	CentOS Local Security Checks	2018/1/23	2019/12/31	high
106234	CentOS 7：bind（CESA-2018:0102）	Nessus	CentOS Local Security Checks	2018/1/23	2019/12/31	high
108276	RHEL 6：bind（RHSA-2018:0487）	Nessus	Red Hat Local Security Checks	2018/3/13	2025/2/4	high
106931	Amazon Linux AMI：bind（ALAS-2018-954）	Nessus	Amazon Linux Local Security Checks	2018/2/22	2025/10/29	high
106211	Debian DLA-1255-1: bind9 セキュリティ更新	Nessus	Debian Local Security Checks	2018/1/22	2025/11/3	high
106513	Fedora 26：32：bind / bind-dyndb-ldap / dnsperf（2018-6550550774）	Nessus	Fedora Local Security Checks	2018/1/31	2025/10/30	high
106545	openSUSEセキュリティ更新プログラム：bind（openSUSE-2018-114）	Nessus	SuSE Local Security Checks	2018/2/1	2025/10/30	high
109125	Amazon Linux 2 : bind (ALAS-2018-954)	Nessus	Amazon Linux Local Security Checks	2018/4/18	2024/10/31	high
106200	ISC BIND 9 < 9.9.11-P1 / 9.9.11-S2 / 9.10.6-P1 / 9.10.6-S2 / 9.11.2-P1 / 9.12.0rc2 多个漏洞	Nessus	DNS	2018/1/19	2019/11/8	high
106257	Scientific Linux 安全更新：SL6.x i386/x86_64 中的 bind	Nessus	Scientific Linux Local Security Checks	2018/1/23	2025/11/3	high
106106	Slackware 13.0 / 13.1 / 13.37 / 14.0 / 14.1 / 14.2 / 当前版本：bind (SSA:2018-017-01)	Nessus	Slackware Local Security Checks	2018/1/18	2025/11/3	high
137170	OracleVM 3.3 / 3.4：bind (OVMSA-2020-0021)	Nessus	OracleVM Local Security Checks	2020/6/5	2024/3/7	medium

检测

插件搜索

high

high

high

high

high

high

high

high

high

high

high

high

medium