BIND 9の脆弱性を利用したサービス不能(DoS)攻撃について

DNS関連技術情報のトップへ戻る
---------------------------------------------------------------------
■BIND 9の脆弱性を利用したサービス不能(DoS)攻撃について
  - パッチ適用を推奨 -
							2010/01/20(Thu)
---------------------------------------------------------------------

▼概要

  BIND 9のDNSSEC検証機能の実装にリモートからのサービス不能(DoS)攻撃が
  可能になる脆弱性が発見され、開発元のISCより対応のためのパッチがリリー
  スされました。該当するBIND 9を利用しているユーザは関連情報の収集やパッ
  チの適用等、適切な対応を取ることを推奨します。

▼詳細

  BIND 9のDNSSEC検証機能の実装上の不具合により、DNSSEC検証機能を有効に
  設定したキャッシュDNSサーバに対し、リモートから特殊なDNS応答を送信す
  ることで、本来存在する名前について「その名前は存在しない(NXDOMAIN)」
  という不正な応答を返すように仕向ける攻撃が可能となります。これにより、
  特定のWebサイトへのアクセスを妨害する、サービス不能(DoS)攻撃が可能と
  なります。

  ただし、今回の攻撃を成立させるためには、従来からのDNSキャッシュポイ
  ズニング攻撃を成立させることが前提条件となっており、本脆弱性に関する
  開発元のISCにおける「深刻度(Severity)」は「低(Low)」となっています。
  ただし、本脆弱性の修正パッチには、DNSSEC検証機能に関するより深刻度の
  高い脆弱性の修正(*1)も含まれておりますので、十分にご注意ください。

  本脆弱性の詳細についてはUS-CERTからの脆弱性情報(*2)をご参照ください。

  (*1)BIND 9の脆弱性を利用したキャッシュポイズニング攻撃について
    <http://jprs.jp/tech/security/bind9-vuln-cache-poisoning.html>

  (*2)US-CERT Vulnerability Note VU#360341
    <http://www.kb.cert.org/vuls/id/360341>

▼対策

  ISC、および各ディストリビューションベンダからリリースされたパッチを
  適用してください。

▼脆弱性の情報・パッチリリース

  以下にBIND 9の開発元であるISCから発表されているパッチ等の情報を記載
  します。また、各ディストリビューションベンダからの情報やUS-CERTの情
  報(*2)等もご確認の上、適切な対応をお願いいたします。

  * ISC
    
    BIND 9 DNSSEC validation code could cause bogus NXDOMAIN responses
    <https://www.isc.org/advisories/CVE-2010-0097>

    ISC BIND patch release
 
    - BIND 9.6.1-P3
    <http://ftp.isc.org/isc/bind9/9.6.1-P3/bind-9.6.1-P3.tar.gz>
    - BIND 9.5.2-P2
    <http://ftp.isc.org/isc/bind9/9.5.2-P2/bind-9.5.2-P2.tar.gz>
    - BIND 9.4.3-P5
    <http://ftp.isc.org/isc/bind9/9.4.3-P5/bind-9.4.3-P5.tar.gz>

---------------------------------------------------------------------
▼更新履歴
  2009-01-20 10:30 初版作成