（緊急）BIND 9.xのキャッシュDNSサーバー機能の実装上の問題によるnamedのサービス停止について

DNS関連技術情報のトップへ戻る
---------------------------------------------------------------------
■（緊急）BIND 9.xのキャッシュDNSサーバー機能の実装上の問題による
  namedのサービス停止について - バージョンアップを強く推奨 -

                                株式会社日本レジストリサービス（JPRS）
                                            初版作成 2011/11/17（Thu）
                                                更新 2011/11/21（Mon）
                    （影響範囲を「すべてのバージョンのBIND 9」に更新）
                                                更新 2011/12/07（Wed）
                         （ISCのセキュリティアドバイザリの更新を反映）
---------------------------------------------------------------------

▼概要

  BIND 9.xのキャッシュDNSサーバー機能の実装上の問題により、namedのリモー
  トからのクラッシュ（サービス停止）が可能であることが、開発元のISCよ
  り発表されました。本脆弱性により提供者が意図しない、名前解決サービス
  の停止が発生する可能性があります。

  かつ、既に本脆弱性によるサービスダウンが複数の組織から報告されている
  ことから、該当するBIND 9を利用しているユーザは、関連情報の収集や緊急
  パッチの適用など、適切な対応を速やかに取ることを強く推奨します。

▼詳細

  BIND 9.xでは実装上の不具合により、ある種のネットワークイベント（具体
  的内容は本稿作成時点において特定されておりません）によってnamed内部
  でエラーが発生し、namedがクラッシュする問題が発生します。

  本脆弱性によりnamedがクラッシュした場合、以下のメッセージがログに出
  力されます（「1781」の部分はBIND 9のバージョンにより異なる場合があり
  ます）。

    query.c:1781: INSIST(!
    dns_rdataset_isassociated(sigrdataset)) failed, back trace

  開発元であるISCは、本脆弱性の深刻度（Severity）を「深刻（Serious）」
  と評価しています。また、

  ・既に本脆弱性によるサービスダウンが複数の組織から報告されていること

  ・これまでにリリースされたすべてのバージョンのBIND 9が本脆弱性の影響
    を受けること

  ・インターネット上に公開していないキャッシュDNSサーバーにおいても、
    本脆弱性の影響を受ける可能性があると考えられること

  などから、広い範囲での適切な緊急対策が必要となります。

  なお、本脆弱性に関するCVE情報は、以下で公開されています。

  * Common Vulnerabilities and Exposures

    CVE - CVE-2011-4313
    <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4313>

  （2011年12月7日追加）
  2011年12月5日（米国時間）にISCのセキュリティアドバイザリが更新され、
  今回の障害の原因特定、パッチ適用の推奨に関する情報が追加されました。
  追加された記述の概要は以下の通りです。

  ・障害発生者から提供されたデータを分析し、今回の障害の原因を特定した

  ・今回の障害は「偶発的な運用エラー（accidental operational error）」
    によりBINDの未知のバグが顕在化することで発生したこと、そして、その
    障害は今回のパッチにより防げることを確認した

  ・今回のエラーを引き起こした原因となったものは既に存在しないが、同様
    の事象が偶発的ではなく意図的に（悪意を持って）設定される可能性が非
    常に高い

  ・そのため、ISCはパッチ適用済バージョンへの更新の継続を強く推奨する

▼一時的な回避策

  （2011年12月7日更新）
  ISCでは、パッチ適用済バージョンへの更新を即座に実施できない場合の一
  時的な回避策として、設定ファイルnamed.confに minimal-responses yes;
  の記述を追加してnamedを再設定する方法を公開しました。ただし、この方
  法で本脆弱性を回避できるのは該当するnamedがキャッシュDNSサーバーのみ
  で運用されている場合に限られており、同一のnamedでキャッシュDNSサーバー
  と権威DNSサーバーを兼用している場合、本脆弱性を完全には回避できない
  としています。

  また、namedにおいて再帰検索要求の受けつけを無効にしている場合、本脆
  弱性の影響を受けません。

▼解決策

  BIND 9.8.1-P1/9.7.4-P1/9.6-ESV-R5-P1/9.4-ESV-R5-P1へのアップグレード、
  または各ディストリビューションベンダからリリースされたパッチの適用を
  速やかに実施してください。

▼参考リンク

  以下に、開発元であるISCから発表されている情報（英語／日本語訳）、及
  びJPCERT/CCから発表されている注意喚起へのリンクを記載します。また、
  各ディストリビューションベンダーからの情報やCVE情報などもご確認の上、
  適切な対応をお願いいたします。

  * ISC

    BIND 9 Resolver crashes after logging an error in query.c
    <https://www.isc.org/software/bind/advisories/cve-2011-4313>
    BIND 9キャッシュサーバがquery.cでエラーログを出してクラッシュする
    <https://www.isc.org/advisorycve20114313JP>

    BIND 9.8.1-P1
    <https://www.isc.org/software/bind/981-p1>
    BIND 9.7.4-P1
    <https://www.isc.org/software/bind/974-p1>
    BIND 9.6-ESV-R5-P1
    <https://www.isc.org/software/bind/96-esv-r5-p1>
    BIND 9.4-ESV-R5-P1
    <https://www.isc.org/software/bind/94-esv-r5-p1>

  * JPCERT/CC

    ISC BIND 9 サービス運用妨害の脆弱性に関する注意喚起
    <https://www.jpcert.or.jp/at/2011/at110031.txt>

---------------------------------------------------------------------
▼更新履歴
  2011-11-17 11:00 初版作成
  2011-11-21 16:00 影響範囲を「すべてのバージョンのBIND 9」に更新
  2011-12-07 12:00 ISCのセキュリティアドバイザリの更新を反映
                   「詳細」「一時的な回避策」に解説を追加