BIND 9.xの脆弱性(DNSサービスの停止)について

BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されました。

本脆弱性により、提供者が意図しないサービスの停止が発生する可能性があります。

「BIND 9」にDoS攻撃を受ける脆弱性、修正バージョンへの更新を
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(2015年7月8日公開)
JVNVU#93531657ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性

概要

BIND 9.xにはDNSSEC検証の処理に不具合があり、DNSSEC検証が有効に設定されているフルリゾルバー(キャッシュDNSサーバー)において、特別に作成されたゾーンデータを含むゾーンの名前解決処理を実行した際、namedが異常終了する障害が発生します

詳細は、JPRSで確認して下さい

対象のバージョン

以下のBINDのバージョンが本脆弱性の対象です

  • BIND 9.7.1 から 9.7.7 まで
  • BIND 9.8.0 から 9.8.8 まで
  • BIND 9.9.0 から 9.9.7 まで
  • BIND 9.10.0 から 9.10.2-P1 まで

考えられる影響

DNSSEC 検証を有効にしたキャッシュ DNS サーバを運用している場合、遠隔の第三者によって、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。

設定ファイル(named.conf)において、以下のいずれかの設定がされている場合にのみ対象となります

  • dnssec-validation auto; オプションが設定されている
  • trusted-keys ステートメントでトラストアンカーが定義されており、かつ、dnssec-validation no; オプションが設定されていない
  • いずれにも該当しない場合、本脆弱性の対象となりません。
  • dnssec-validationオプションのデフォルト設定はyesですが、トラストアンカーが定義されていない場合、DNSSEC検証は有効になりません。

対策

脆弱性の対策を実施されているバージョンまでアップデートする
開発者が提供す修正バージョンにアップデートして下さい

BIND 9.9.7-P1:http://ftp.isc.org/isc/bind9/9.9.7-P1/bind-9.9.7-P1.tar.gz
BIND 9.10.2-P2:http://ftp.isc.org/isc/bind9/9.10.2-P2/bind-9.10.2-P2.tar.gz

一時的な回避策

DNSSEC検証機能を無効に設定することで、本脆弱性の影響を回避できます。
ただし、DNSSECによる保護機能も無効となることに注意が必要です。

参考:JPRS(BIND 9.xの脆弱性について)

Linux脆弱性

Posted by admin