---------------------------------------------------------------------
■（緊急）BIND 9.xの脆弱性（DNSサービスの停止）について（2013年7月27日公開）
  - キャッシュ／権威DNSサーバーの双方が対象、バージョンアップを強く推奨 -

                                株式会社日本レジストリサービス（JPRS）
                                            初版作成 2013/07/27（Sat）
---------------------------------------------------------------------

▼概要

  BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービ
  ス不能（DoS）攻撃が可能となる脆弱性が、開発元のISCから発表されました。
  本脆弱性により、提供者が意図しないサービスの停止が発生する可能性があ
  ります。

  注意：既に、本脆弱性による複数の攻撃事例が報告されています。

  本脆弱性は影響が大きく、かつキャッシュDNSサーバー及び権威DNSサーバー
  の双方が対象となることから、該当するBIND 9.xを利用しているユーザーは
  関連情報の収集やパッチの適用など、適切な対応を速やかに取ることを強く
  推奨します。

▼詳細

  BIND 9.xではリソースレコード（RR）の取り扱いに不具合があり、不正な形
  式のRDATAを含む特別に作成されたDNS問い合わせを受信拒否する処理におい
  て、namedが異常終了を起こす障害が発生します。

  本脆弱性を利用した攻撃はリモートから可能であり、かつ、キャッシュDNS
  サーバー／権威DNSサーバーの双方が対象となります。

  また、本脆弱性はBIND 9に付属のDNSライブラリ内に存在するため、そのラ
  イブラリを使用しているnamed以外のプログラムやアプリケーションなどに
  おいても、影響を及ぼす可能性があります。

▽対象となるバージョン

  本脆弱性は、BIND 9.7.0以降のすべてのバージョンのBIND 9が対象となりま
  す。そのため、以下のすべてのバージョンが対象に含まれます。

  オープンソース版:
  ・9.7系列: 9.7.0～9.7.7
  ・9.8系列: 9.8.0～9.8.5-P1、9.8.6b1
  ・9.9系列: 9.9.0～9.9.3-P1、9.9.4b1

  サブスクリプション版:
  ・9.9.3-S1、9.9.4-S1b1

  BIND 9.6-ESV及びBIND 10は、本脆弱性の対象となりません。なお、ISCでは
  9.6-ESVを除く9.7以前の系列のBIND 9のサポートを終了しており、これらの
  バージョンに対するセキュリティパッチはリリースしないと発表しています。

▽影響範囲

  ISCは、本脆弱性の深刻度（Severity）を「重大（Critical）」と評価してい
  ます。本脆弱性は、

  ・既に本脆弱性を悪用した複数の攻撃事例が報告されていること

  ・キャッシュDNSサーバー及び権威DNSサーバーの双方が対象となること

  ・多くのバージョンのBIND 9が対象となること

  ・namedの設定ファイル（named.conf）によるアクセスコントロール（ACL）
    の設定では、影響を回避・軽減できないこと

  ・インターネットに直接接続していないキャッシュ／権威DNSサーバーも、
    攻撃の対象となりうること

  などから、広い範囲での適切な緊急対策が必要となります。

  本脆弱性については、以下の脆弱性情報（*1）も併せてご参照ください。

  （*1）CVE - CVE-2013-4854
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4854>

▼一時的な回避策

  現時点において、本脆弱性の一時的な回避策は知られておりません。

▼解決策

  本脆弱性を修正したパッチバージョン（BIND 9.8.5-P2/9.9.3-P2）への更新、
  あるいは各ディストリビューションベンダーからリリースされるパッチの適
  用を、速やかに実施してください。

  なお、サブスクリプション版のパッチバージョンにつきましては、DNScoに
  お問い合わせください。

▼参考リンク

  以下に、ISCから発表されている情報へのリンクを記載します。また、各ディ
  ストリビューションベンダーからの情報や前述のCVEの情報などもご確認の
  上、適切な対応をとることを強く推奨します。

  - ISC

   セキュリティアドバイザリ
    CVE-2013-4854: A specially crafted query can cause BIND to
                   terminate abnormally
    <https://kb.isc.org/article/AA-01015>
    CVE-2013-4854 [JP]: 特別に細工されたクエリによってBINDが異常終了する
    <https://kb.isc.org/article/AA-01023>

   本脆弱性に関するFAQ及び追加情報
    CVE-2013-4854: FAQ and Supplemental Information
    <https://kb.isc.org/article/AA-01016>

   パッチバージョンの入手先
    BIND 9.8.5-P2
    <http://ftp.isc.org/isc/bind9/9.8.5-P2/bind-9.8.5-P2.tar.gz>
    BIND 9.9.3-P2
    <http://ftp.isc.org/isc/bind9/9.9.3-P2/bind-9.9.3-P2.tar.gz>

  - DNSco

    Subscriptions and Solutions
    <http://www.dns-co.com/solutions/>

▼連絡先

  本文書に関するお問い合わせは <dnstech-info@jprs.jp> までご連絡ください。

---------------------------------------------------------------------
▼更新履歴
  2013-07-27 12:00 初版作成