（緊急）BIND 9.xのネガティブキャッシュ機能の実装上のバグによるnamedのサービス停止について

DNS関連技術情報のトップへ戻る
---------------------------------------------------------------------
■（緊急）BIND 9.xのネガティブキャッシュ機能の実装上のバグによる
  namedのサービス停止について - バージョンアップを強く推奨 -

                                株式会社日本レジストリサービス（JPRS）
                                            初版作成 2011/05/27（Fri）
                                                更新 2011/06/01（Wed）
                                            (ISC発表文書の更新を反映）
---------------------------------------------------------------------

▼概要

  BIND 9.xのネガティブキャッシュの取り扱いには実装上のバグがあり、
  namedのリモートからのクラッシュ（サービス停止）が可能であることが、
  開発元のISCより発表されました。本脆弱性により、提供者が意図しない、
  名前解決サービスの停止が発生する可能性があります。

  かつ、本脆弱性を利用した具体的な攻撃方法が既にインターネット上で公表
  されていることから、該当するBIND 9を利用しているユーザは、関連情報の
  収集や緊急パッチの適用等、適切な対応を速やかに取ることを強く推奨しま
  す。

▼詳細

  ネガティブキャッシュはDNSの否定応答（その名前は存在しない（NXDOMAIN）
  やそのリソースレコードセットは存在しない（NODATA））をキャッシュする
  ことによりDNSの応答速度を向上させ、かつDNSサーバーに対する負荷を軽減
  させる機能であり、RFC 2308で定義されています。

  BIND 9.xでは実装上の不具合により、非常に大きなRRSIGリソースレコード
  セットを含むDNSの否定応答を権威DNSサーバーから受信した場合にnamed内
  部でエラーが発生し、namedがクラッシュする問題が発生します。

  このため、攻撃者が該当するリソースレコードセットを含むデータを権威
  DNSサーバーと共に準備し、外部からそのデータをDNSの否定応答に含む形で
  検索させるように誘導することにより、キャッシュDNSサーバーとして動作
  しているnamedを、リモートから停止させることが可能となります。

  開発元であるISCは、本脆弱性の深刻度（Severity）を「高（High）」と評
  価しています。また、

  ・既に本脆弱性を利用した具体的な攻撃方法がインターネット上に公開され
    ていること

  ・現時点でサポートされているほぼすべてのBIND 9が本脆弱性の影響を受け
    ること

  ・namedにおいてDNSSECの機能を有効にしていない場合であっても、本脆弱
    性の影響を受けること

  などから、広い範囲での適切な緊急対策が必要となります。

  なお、再帰検索要求を受け付けないように設定されている権威DNSサーバー
  については、本脆弱性の影響を受けません。また、BIND 9.6.2-P3について
  は、本脆弱性の影響を受けません。

  本脆弱性の詳細については以下の脆弱性情報（*1）をご参照ください。

  （*1）CVE - CVE-2011-1910
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1910>
        US-CERT Vulnerability Note VU#795694
        <https://www.kb.cert.org/vuls/id/795694>

▼一時的な回避策

  キャッシュDNSサーバーにおける適切なアクセスコントロールの実施により、
  本脆弱性による危険性を低減できます。ただし、本方法は根本的な問題解決
  とならないため、以下に示す解決策による、追加対応の速やかな実施が必要
  となります。

▼解決策

  BIND 9.8.0-P2/9.7.3-P1/9.6-ESV-R4-P1/9.4-ESV-R4-P1へのアップグレード、
  または各ディストリビューションベンダからリリースされたパッチの適用を
  速やかに実施してください。

▼参考リンク

  以下に、BIND 9の開発元であるISCから発表されている情報へのリンクを記
  載します。また、各ディストリビューションベンダからの情報やCVE、
  US-CERTの情報（*1）等もご確認の上、適切な対応をお願いいたします。

  * ISC

    Large RRSIG RRsets and Negative Caching can crash named
    <https://www.isc.org/software/bind/advisories/cve-2011-1910>

    BIND 9.8.0-P2
    <ftp://ftp.isc.org/isc/bind9/9.8.0-P2>
    BIND 9.7.3-P1
    <ftp://ftp.isc.org/isc/bind9/9.7.3-P1>
    BIND 9.6-ESV-R4-P1
    <ftp://ftp.isc.org/isc/bind9/9.6-ESV-R4-P1>
    BIND 9.4-ESV-R4-P1
    <ftp://ftp.isc.org/isc/bind9/9.4-ESV-R4-P1>

---------------------------------------------------------------------
▼更新履歴
  2011-05-27 16:00 初版作成
  2011-06-01 11:00 ISC発表文書の更新を反映
                   - US-CERTのVU#情報追加
                   - 9.6.2-P3は本脆弱性の影響を受けない旨を追加
                   - BIND 9.4-ESV-R4-P1の公開を反映
                   - 上記に伴う文書の一部修正