---------------------------------------------------------------------
■BIND 9.xにおける「update-policy local;」の仕様変更に伴う影響について
株式会社日本レジストリサービス(JPRS)
初版作成 2018/03/22(Thu)
---------------------------------------------------------------------
▼概要
2018年3月14日にリリースされたBIND 9.12.1/9.11.3/9.10.7/9.9.12におい
て、Dynamic Update(*1)に関する設定のうち、「update-policy local;」
を設定した際の仕様が変更されました。
(*1)Dynamic Updateの概要については、本文書の「詳細」を参照ください。
ISCでは、今回の仕様変更の理由をセキュリティの向上のためとしており、多
くの運用者は変更の影響を受けないと考えている旨を発表しています。
なお、ISCでは、影響を受けた場合の回避策として、設定変更の内容も併せて
公開しています。具体的な内容につきましては、本文書の「従来と同じ動作
をさせる設定(非推奨)」及びISCが公開した情報を参照ください。
▼詳細
▽本件の概要
Dynamic UpdateはRFC 2136で定義される、クライアントからの依頼により権
威DNSサーバーが管理するゾーン情報を動的に更新するための機能です。
BINDではDynamic Updateによる動的更新の受け付けは、デフォルトでは無効
に設定されています。
従来、BIND 9では設定ファイル(named.conf)において「update-policy
local;」を設定した場合、既知の名前(local-ddns)とデフォルトのアルゴ
リズムを用いたTSIG鍵が暗黙の設定として定義され、かつ、IPアドレスベー
スのアクセス制限がない状態に設定される仕様となっていました。
ISCではこれを誤解を招きやすい仕様であったとし、今回のリリースでローカ
ルネットワークからの更新要求のみを受け付ける仕様に変更しています。
▽対象となるバージョン
本件は、これまでにリリースされたすべてのバージョンのBIND 9.xが影響し
ます。
▽影響範囲
本件は、
・BIND 9.xで、Dynamic Updateを有効に設定している(デフォルトでは無効)
・かつ、named.confにおいて「update-policy local;」を設定している
・かつ、リモートネットワークからの更新を受け付ける形で運用している
場合にのみ影響を受けます。
▼従来と同じ動作をさせる設定(非推奨)
named.confに設定されている「update-policy local;」を「update-policy
{ grant local-ddns zonesub any; };」に変更することで、BIND 9.xの更新
後も、従来と同じ動作をさせることができます。
ただし、上記設定をした場合、Dynamic Updateによるゾーンの更新を任意の
ネットワークから受け付ける状態になるため、ISCでは本設定を推奨してい
ません。
▼解決策
新しいバージョン(BIND 9.12.1/9.11.3/9.10.7/9.9.12)に更新することで、
「update-policy local;」を設定した際の動作が、より安全なものに変更さ
れます。
▼参考リンク
以下に、ISCから発表されている情報へのリンクを記載します。
- ISC
Operational Notification
Operational Notification: "update-policy local" was named
misleadingly and could permit non-local DDNS updates
<https://kb.isc.org/article/AA-01599>
▼連絡先
本文書に関するお問い合わせは <dnstech-info@jprs.co.jp> までご連絡くだ
さい。
---------------------------------------------------------------------
▼更新履歴
2018/03/22 11:00 初版作成
株式会社日本レジストリサービス Copyright©2001-2024 Japan Registry Services Co., Ltd.