---------------------------------------------------------------------
■BIND 9のallow-queryによるアクセス制限の不具合について
  - パッチ適用を推奨 -

                                株式会社日本レジストリサービス（JPRS）
                                                     2010/12/02（Thu）
---------------------------------------------------------------------

▼概要

  9.7.2-P2のBIND 9には、権威DNSサーバーとして使用した場合に本来有効と
  なるべきallow-queryによるアクセス制限が有効にならない不具合があり、
  リモートからのサービス不能（DoS）攻撃などの際に十分な対応ができない
  可能性があることが、開発元のISCより発表されました。該当するBIND 9を
  利用しているユーザは関連情報の収集やパッチの適用等、適切な対応を取る
  ことを推奨します。

▼詳細

  BIND 9を権威DNSサーバーとして使用した場合、named.confファイル内にお
  けるallow-queryによるアクセス制限は、

  （1）zoneステートメント内における指定
  （2）viewステートメント内における指定
  （3）optionsステートメント内における指定

  の順に評価されます。もし、（1）～（3）のいずれも存在しなかった場合、
  すべてのIPアドレスからのDNS問い合わせに対し、応答を返します。
  （allow-query { "any" }; の状態）

  しかし、該当するBIND 9では、zoneステートメントにおいてallow-queryが
  指定されていなかった場合、本来評価されるべきviewステートメント及び
  optionsステートメント内におけるallow-queryの指定が評価されず、結果と
  して管理者が予期しない形でアクセスが許可されてしまう不具合があります。
  このため、例えばリモートからのサービス不能（DoS）攻撃を受けた際など
  に、本機能を使用した緊急対応が十分に実施できない可能性があります。

  なお、本不具合による影響は権威DNSサーバーにおいてallow-queryを指定し
  た場合のみであり、allow-recursion及びallow-query-cacheによるアクセス
  制限には影響を与えません。

  本不具合の詳細については以下の情報（*1）をご参照ください。

  （*1）CVE - CVE-2010-3615
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3615>
        Vulnerability Note VU#510208
        <https://www.kb.cert.org/vuls/id/510208>

▼対策

  ISCおよび各ディストリビューションベンダからリリースされたパッチリリー
  スへの更新を実施することにより、本不具合を修正できます。なお、即時の
  更新が困難な場合、それぞれのzoneステートメント内においてallow-query
  を個別に指定することにより、不具合を回避できます。

▼障害情報・パッチリリース

  以下にBIND 9の開発元であるISCから発表されているパッチ等の情報を記載
  します。また、各ディストリビューションベンダからの情報や上記の情報な
  どもご確認の上、適切な対応をお願いいたします。

    ISC Security Advisories
    <https://www.isc.org/software/bind/advisories/cve-2010-3615>

    ISC BIND patch release
 
    - BIND 9.7.2-P3
    <http://ftp.isc.org/isc/bind9/9.7.2-P3/bind-9.7.2-P3.tar.gz>