---------------------------------------------------------------------
■Unbound 1.xのDNSエラーメッセージ送信処理の不具合を利用したDoS攻撃について

                               株式会社日本レジストリサービス（JPRS）
                                                    2011/05/27（Fri）
---------------------------------------------------------------------

▼概要

  キャッシュDNSサーバーの一つであるUnboundの1.0から1.4.9までのバージョ
  ンには、DNSエラーメッセージの送信処理に実装上の不具合があり、特定の
  条件下においてリモートからのサービス不能（DoS）攻撃が可能になる脆弱
  性が存在することが、開発元のNLnet Labsより発表されました。該当する
  Unboundを利用しているユーザは、関連情報の収集やソフトウェアのバージョ
  ンアップなど、適切な対応を取ることを強く推奨します。

▼詳細

  UnboundはNLnet Labsが開発している、キャッシュDNSサーバー／DNSSECバリ
  データーの実装の一つです。Unboundはオープンソースで開発されており、
  無償で入手・使用できます。

  バージョン1.0から1.4.9までのUnboundには、DNSエラーメッセージを作成・
  送信する際の処理に実装上の不具合があり、Unboundの構成（configure）の
  際に--enable-checkingまたは--enable-debugオプションを指定することで
  assertion機能を有効にし、かつ、実行時に設定ファイル（デフォルトでは
  unbound.conf）のinterface-automaticオプションにおいてyesを指定してい
  た場合、特定のDNSパケットを作成・送信することにより、DNSサービスをリ
  モートから停止させることが可能となります。

  なお、本脆弱性はUnboundの構成時に上記オプションを指定し、かつ実行時
  に上記オプションにおいてyesを指定している場合にのみ該当します。

  本脆弱性の詳細については以下の脆弱性情報（*1）をご参照ください。

  （*1）CVE - CVE-2011-1922
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1912>
        Vulnerability Note VU#531342
        <https://www.kb.cert.org/vuls/id/531342>
        JVNVU#531342: Unbound DNS リゾルバにサービス運用妨害 (DoS) の脆弱性
        <https://jvn.jp/cert/JVNVU531342/>

▼一時的な回避策

  Unboundの構成時に--enable-checking及び--enable-debugオプションのいず
  れも指定しない、または実行時に設定ファイルのinterface-automaticオプ
  ションにおいてyesを指定しないようにすることにより、本脆弱性を回避で
  きます。

▼解決策

  Unbound 1.4.10へのバージョンアップ、または各ディストリビューションベ
  ンダなどからリリースされるアップデートの適用が必要となります。

▼参考リンク

  以下にUnboundの開発元であるNLnet Labdからの情報へのリンクを記載
  します。また、各ディストリビューションベンダからの情報や上記の脆弱
  性情報などもご確認の上、適切な対応をお願いいたします。

    CVE-2011-1922 VU#531342 Unbound empty error packet handling assertion failure
    <http://unbound.nlnetlabs.nl/downloads/CVE-2011-1922.txt>

    Unbound 1.4.10
    <http://unbound.net/downloads/unbound-1.4.10.tar.gz>

---------------------------------------------------------------------
▼更新履歴
  2011-05-27 11:00 初版作成