---------------------------------------------------------------------
■PowerDNSの脆弱性を利用したサービス不能（DoS）攻撃について
  - バージョンアップ／パッチの適用を推奨 -

                               株式会社日本レジストリサービス（JPRS）
                                                    2012/01/11（Wed）
---------------------------------------------------------------------

▼概要

  権威DNSサーバーの一つであるPowerDNSには実装上の不具合により、本来応
  答を返してはならないDNS応答パケットに対し、誤って応答を返してしまう
  脆弱性が存在することが、開発元のPowerDNS.COM BVから発表されました。
  本脆弱性を利用することで、外部からのサービス不能（DoS）攻撃が可能と
  なります。

  該当するPowerDNSを利用しているユーザーは、修正版へのバージョンアップ
  や関連情報の収集など、適切な対応を取ることを推奨します。

▼詳細

  PowerDNSはPowerDNS.COM BVが開発している権威DNSサーバーの実装の一つで
  す。PowerDNSはオープンソースで開発されており、無償で入手・使用できま
  す。

  バージョン3.0以前のPowerDNSには、本来応答してはならないDNS応答パケッ
  ト（HeaderセクションにおいてQRビットがセットされたDNSパケット）に対
  し、誤って応答を返してしまう不具合が存在します。このため、攻撃者がこ
  れを利用することで、CPU資源やネットワーク資源を消費するタイプのサー
  ビス不能（DoS）攻撃の実施が可能となります。

  なお、同社がリリースしているキャッシュDNSサーバーであるPowerDNS
  Recursorは、本脆弱性の影響を受けません。

  本脆弱性に関するCVE情報は、以下で公開されています。

  * Common Vulnerabilities and Exposures

    CVE - CVE-2012-0206
    <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0206>

▼一時的な回避策

  PowerDNSの設定ファイル（デフォルトではpowerdns.conf）において
  「cache-ttl=0」を設定することで内部キャッシュを無効にすることにより、
  本脆弱性を一時的に回避できます。ただし、本設定はパフォーマンスの低下
  を伴うことに注意が必要です。

▼解決策

  PowerDNS 2.9.22.5または3.0.1へのバージョンアップ、または各ディストリ
  ビューションベンダーなどからリリースされるアップデートの適用が必要と
  なります。

▼参考リンク

  以下に開発元のPowerDNS.COM BVからの情報へのリンクを記載します。また、
  各ディストリビューションベンダーからの情報や上記の脆弱性情報などもご
  確認の上、適切な対応をお願いいたします。

  * PowerDNS.COM BV

    PowerDNS Authoritative Server Security Advisory 2012-01
    <http://www.powerdns.com/news/powerdns-security-advisory-2012-01.html>

    Downloads - PowerDNS
    <http://www.powerdns.com/content/downloads.html>

---------------------------------------------------------------------
▼更新履歴
  2012-01-11 10:00 初版作成