（緊急）BIND 9の否定応答受信時のRRSIGレコードの取り扱いの不具合を利用したDoS攻撃について

DNS関連技術情報のトップへ戻る
---------------------------------------------------------------------
■BIND 9の否定応答受信時のRRSIGレコードの取り扱いの不具合を利用した
  DoS攻撃について - 緊急のパッチ適用を強く推奨 -

                                株式会社日本レジストリサービス（JPRS）
                                                     2010/12/15（Wed）
                        （脆弱性対象バージョンの拡大と対応方法を追記）
---------------------------------------------------------------------

▼概要

  9.7.2-P2以前のBIND 9には、DNSSEC署名された否定応答を受信した際のキャッ
  シュ済みRRSIGレコードの取り扱いに不具合があり、リモートからのサービ
  ス不能（DoS）攻撃が可能になる脆弱性が存在することが、開発元のISCより
  発表されました。本脆弱性は危険度が高いため、該当するBIND 9を利用して
  いるユーザは、関連情報の収集や緊急パッチの適用等、適切な対応を取るこ
  とを強く推奨します。

  （2010年12月15日追加）
  2010年12月14日付でISCから、本脆弱性の対象となるBIND 9のバージョンを
  9.0.x以降の全てに拡大すること、パッチは現在のサポート対象であるBIND
  9.4.x、9.6.x、9.6-ESV、9.7.xに対してのみリリースし、それ以外について
  は対象バージョンに速やかに更新すべしとする旨が発表されました。関係各
  位におかれましてはパッチの適用等、適切な対応を速やかに取ることを重ね
  て推奨します。

▼詳細

  権威DNSサーバーは問い合わされたデータが存在しない場合、問い合わせ元
  に対し「その名前は存在しない」や「その型は存在しない」などの否定応答
  （negative response）を返します。キャッシュDNSサーバーはこれらの否定
  応答を一定時間キャッシュし、同内容の問い合わせに対する応答の効率化を
  図ります。

  本脆弱性によりキャッシュDNSサーバーとして利用しているBIND 9において、
  DNSSEC署名された否定応答としてNO DATAとなるものを受信した際の、該当
  名に対するキャッシュ済みRRSIGレコードの取り扱いに存在する不具合を利
  用し、特定のDNSパケットを作成・送信することにより、DNSサーバーnamed
  をリモートから停止させることが可能となります。

  なお、本脆弱性は該当するキャッシュDNSサーバーにおいてDNSSECによる検
  証を有効にしていない場合であっても対象となりますので、注意が必要です。

  本脆弱性の詳細については以下の脆弱性情報（*1）をご参照ください。

  （*1）CVE - CVE-2010-3613
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3613>
        Vulnerability Note VU#706148
        <https://www.kb.cert.org/vuls/id/706148>

▼対策

  ISCおよび各ディストリビューションベンダからリリースされたパッチリリー
  スへの更新を実施してください。

▼脆弱性の情報・パッチリリース

  以下にBIND 9の開発元であるISCから発表されているパッチ等の情報を記載
  します。また、各ディストリビューションベンダからの情報や上記の脆弱性
  情報などもご確認の上、適切な対応をお願いいたします。

    ISC Security Advisories
    <https://www.isc.org/software/bind/advisories/cve-2010-3613>

    ISC BIND patch release
 
    - BIND 9.7.2-P3
    <http://ftp.isc.org/isc/bind9/9.7.2-P3/bind-9.7.2-P3.tar.gz>
    - BIND 9.6-ESV-R3
    <http://ftp.isc.org/isc/bind9/9.6-ESV-R3/bind-9.6-ESV-R3.tar.gz>
    - BIND 9.6.2-P3
    <http://ftp.isc.org/isc/bind9/9.6.2-P3/bind-9.6.2-P3.tar.gz>
    - BIND 9.4-ESV-R4
    <http://ftp.isc.org/isc/bind9/9.4-ESV-R4/bind-9.4-ESV-R4.tar.gz>

---------------------------------------------------------------------
▼更新履歴
  2010-12-02 14:00 初版作成
  2010-12-15 12:00 脆弱性対象バージョンの拡大と対応方法を追記
                   BIND 9.4-ESV-R4へのリンクを追加