---------------------------------------------------------------------
■BIND 9.xの大量のDNSSEC検証要求受信時におけるサービス停止について
- バージョンアップを強く推奨 -
株式会社日本レジストリサービス(JPRS)
初版作成 2012/07/25(Wed)
---------------------------------------------------------------------
▼概要
BIND 9.xの高負荷環境下におけるキャッシュデータの取り扱いの不具合によ
り、namedに対する外部からのサービス不能(DoS)攻撃が可能となることが、
開発元のISCから発表されました。本脆弱性により、提供者が意図しないサー
ビスの停止が発生する可能性があります。
該当するBIND 9.xを利用しているユーザーは、関連情報の収集、緊急パッチ
の適用など、適切な対応を速やかに取ることを強く推奨します。
▼詳細
BIND 9.xでは実装上の不具合により、キャッシュDNSサーバーにおいて
DNSSEC検証機能を有効にした状態で大量のDNSSEC検証要求を受け取った際、
assertion failureエラーを引き起こし、namedが異常終了する障害が発生す
る場合があります。
本脆弱性は、キャッシュDNSサーバーにおいてDNSSEC検証を有効にしている
場合にのみ対象となります。キャッシュDNSサーバー機能を有効にしていな
い、あるいは、DNSSEC検証機能を有効にしていない場合、対象となりません。
対象となるBIND 9.xのバージョンは以下の通りです。
・9.6系列: 9.6-ESV~9.6-ESV-R7-P1
・9.7系列: 9.7.1~9.7.6-P1
・9.8系列: 9.8.0~9.8.3-P1
・9.9系列: 9.9.0~9.9.1-P1
上記に加え、9.4系及び9.5系についても本脆弱性の対象となります。ただし、
ISCではこれらのバージョンのサポートを終了しており、これらのバージョ
ンに対するセキュリティパッチはリリースしないと発表しています。
▼影響範囲
開発元であるISCは、本脆弱性の深刻度(Severity)を「重大(Critical)」
と評価しています。
本脆弱性については、以下の脆弱性情報(*1)も併せてご参照ください。
(*1)CVE - CVE-2012-3817
<https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-3817>
▼一時的な回避策
本脆弱性の一時的な回避策はありません。
▼解決策
BIND 9.9.1-P2/9.8.3-P2/9.7.6-P2/9.6-ESV-R7-P2へのアップグレード、ま
たは各ディストリビューションベンダーからリリースされるパッチの適用を、
速やかに実施してください。
▼参考リンク
以下に、開発元であるISCから発表されている情報へのリンクを記載します。
また、各ディストリビューションベンダーからの情報やCVEの情報(*1)な
どもご確認の上、適切な対応をお願いいたします。
* ISC
CVE-2012-3817: Heavy DNSSEC Validation Load Can Cause a "Bad Cache"
Assertion Failure in BIND9
<https://kb.isc.org/article/AA-00729>
CVE-2012-3817 [JP]: 高負荷のDNSSEC検証によってBIND9に"Bad Cache"
表明違反が発生する
<https://kb.isc.org/article/AA-00752>
BIND 9.9.1-P2
<http://ftp.isc.org/isc/bind9/9.9.1-P2/bind-9.9.1-P2.tar.gz>
BIND 9.8.3-P2
<http://ftp.isc.org/isc/bind9/9.8.3-P2/bind-9.8.3-P2.tar.gz>
BIND 9.7.6-P2
<http://ftp.isc.org/isc/bind9/9.7.6-P2/bind-9.7.6-P2.tar.gz>
BIND 9.6-ESV-R7-P2
<http://ftp.isc.org/isc/bind9/9.6-ESV-R7-P2/bind-9.6-ESV-R7-P2.tar.gz>
---------------------------------------------------------------------
▼更新履歴
2012-07-25 10:00 初版作成
株式会社日本レジストリサービス Copyright©2001-2024 Japan Registry Services Co., Ltd.