---------------------------------------------------------------------
■BIND 9.20.xのQPzoneの実装における不具合について
- NSEC3でDNSSEC署名されたゾーンを保持する権威DNSサーバーが対象 -
株式会社日本レジストリサービス(JPRS)
初版作成 2024/12/24(Tue)
---------------------------------------------------------------------
▼概要
BIND 9.20系列のQPzone[*1]の実装における不具合の情報が、開発元のISCか
ら公開されました。QPzoneはBIND 9.20系列においてデフォルトで有効にさ
れており、namedに組み込まれています。
[*1] QPzoneの概要については、本文書の「詳細」を参照してください。
本件は、NSEC3でDNSSEC署名されたゾーンを保持する、BIND 9.20系列の権威
DNSサーバーが対象となります。
該当するBIND 9のパッケージを利用しているユーザーは、各ディストリビュー
ションベンダーからリリースされる情報の収集やバージョンアップなど、適
切な対応を速やかに取ることを強く推奨します。
▼詳細
▽本件の概要
QPzoneはBIND 9.20系列において、ゾーンファイルを保持するための仕組み
です。新たに導入されたインメモリデータベースであるQP trie[*2]で実装
されており、開発元のISCは従来のRBTDB(Red-Black Tree Database)に比
べメモリの使用効率が高く、かつ、ロックを削減できるため、多数のCPUを
搭載したシステムにおいて、よりスケーラブルな動作が期待できる旨を表明
しています。
[*2] BIND 9.20 Brings Streamlined Core, Some New Features - ISC
<https://www.isc.org/blogs/2024-bind920/>
BIND 9.20.xのQPzoneの実装には不具合があり、NSEC3でDNSSEC署名されたゾー
ンを保持する権威DNSサーバーが当該ゾーンの問い合わせを受けた際、named
の異常終了や、予期しない状況・結果が発生する可能性があります[*3]。
[*3] 本脆弱性によりnamedが異常終了した場合、assertion failureを引き
起こした旨のメッセージがログに出力されます。
▽対象となるバージョン
本件は、以下のバージョンのBIND 9が該当します。
・9.20系列:9.20.0-9.20.4
▽影響範囲
本件は、NSEC3でDNSSEC署名されたゾーンを保持する、BIND 9.20系列の権威
DNSサーバー(プライマリサーバー・セカンダリサーバー)が対象となりま
す。BIND 9.20系列のフルリゾルバー(キャッシュDNSサーバー)は影響を受
けません。
▼解決策
ISCは対象となる利用者に対し、以下のいずれかの対策を推奨しています。
・--with-zonedb=RBTDBを指定して、BIND 9.20を再コンパイルする
・ISCが提供する、最新のBIND 9.20.4パッケージをインストールする
ISCでは本件に対応するため、2024年12月19日にQPzoneを使用しないBIND
9.20.4パッケージをリリースしました。対象となる利用者がISCが提供する
BIND 9.20系列のパッケージを使用している場合、最新のものに更新する必
要があります。
▼参考リンク
以下に、ISCから発表されている運用情報へのリンクを記載します。また、
各ディストリビューションベンダーからの情報も確認の上、適切な対応を取
ることを強く推奨します。
- ISC
Operational Notification: BIND 9.20 defect in QPzone implementation
<https://kb.isc.org/docs/operational-notification-bind-920-defect-in-qpzone-implementation>
▼連絡先
本文書に関するお問い合わせは <dnstech-info@jprs.co.jp> までご連絡くだ
さい。
---------------------------------------------------------------------
▼更新履歴
2024/12/24 11:00 初版作成
株式会社日本レジストリサービス Copyright©2001-2025 Japan Registry Services Co., Ltd.