BIND 9.xの脆弱性(DNSサービスの停止)について
BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されました。
本脆弱性により、提供者が意図しないサービスの停止が発生する可能性があります。
「BIND 9」にDoS攻撃を受ける脆弱性、修正バージョンへの更新を
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(2015年7月8日公開)
JVNVU#93531657ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性
概要
BIND 9.xにはDNSSEC検証の処理に不具合があり、DNSSEC検証が有効に設定されているフルリゾルバー(キャッシュDNSサーバー)において、特別に作成されたゾーンデータを含むゾーンの名前解決処理を実行した際、namedが異常終了する障害が発生します
詳細は、JPRSで確認して下さい
対象のバージョン
以下のBINDのバージョンが本脆弱性の対象です
- BIND 9.7.1 から 9.7.7 まで
- BIND 9.8.0 から 9.8.8 まで
- BIND 9.9.0 から 9.9.7 まで
- BIND 9.10.0 から 9.10.2-P1 まで
考えられる影響
DNSSEC 検証を有効にしたキャッシュ DNS サーバを運用している場合、遠隔の第三者によって、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。
設定ファイル(named.conf)において、以下のいずれかの設定がされている場合にのみ対象となります
- dnssec-validation auto; オプションが設定されている
- trusted-keys ステートメントでトラストアンカーが定義されており、かつ、dnssec-validation no; オプションが設定されていない
- いずれにも該当しない場合、本脆弱性の対象となりません。
- dnssec-validationオプションのデフォルト設定はyesですが、トラストアンカーが定義されていない場合、DNSSEC検証は有効になりません。
対策
脆弱性の対策を実施されているバージョンまでアップデートする
開発者が提供す修正バージョンにアップデートして下さい
BIND 9.9.7-P1:http://ftp.isc.org/isc/bind9/9.9.7-P1/bind-9.9.7-P1.tar.gz
BIND 9.10.2-P2:http://ftp.isc.org/isc/bind9/9.10.2-P2/bind-9.10.2-P2.tar.gz
一時的な回避策
DNSSEC検証機能を無効に設定することで、本脆弱性の影響を回避できます。
ただし、DNSSECによる保護機能も無効となることに注意が必要です。