DNS関連技術情報のトップへ戻る
---------------------------------------------------------------------
■(緊急)Unbound 1.xの脆弱性を利用したサービス不能(DoS)攻撃について
  - バージョンアップ/緊急パッチの適用を強く推奨 -

                               株式会社日本レジストリサービス(JPRS)
                                                    2011/12/20(Tue)
---------------------------------------------------------------------

▼概要

  キャッシュDNSサーバーのUnboundには実装上の不具合があり、非標準の応答
  の処理中に動作中のUnboundがクラッシュする脆弱性が二つ存在することが、
  開発元のNLnet Labsから発表されました。これらの脆弱性を利用することに
  より、外部からのサービス不能(DoS)攻撃が可能となります。

  NLnet Labsによるとこれら二つの脆弱性は別の事象であるが、24時間以内に
  発見されたため、脆弱性情報を一つにまとめて公開するとのことでした。該
  当するUnboundを利用しているユーザーは、修正版へのバージョンアップ/
  緊急パッチの適用や関連情報の収集など、適切な対応を取ることを強く推奨
  します。

▼詳細

  UnboundはNLnet Labsが開発している、キャッシュDNSサーバー/DNSSECバリ
  データーの実装の一つです。Unboundはオープンソースで開発されており、
  無償で入手・使用できます。

  バージョン1.0.1から1.4.13まで、及び1.4.14rc1のUnboundには非標準の応
  答の処理に関する実装上の不具合による、

  (1)本来ある名前に対し複数存在してはならないリダイレクト用のレコード
     が存在し、かつそれらがDNSSECで署名されていた場合、その応答を受け
     取った際にUnboundがクラッシュする

  (2)本来存在すべきNSEC3レコードが存在しなかった場合、そのNSEC3レコー
     ドによるDNSSEC検証を試みた際にUnboundがクラッシュする

  の二つの脆弱性が存在します。

  このため、攻撃者が該当する名前(レコード)を自身の管理下にある権威
  DNSサーバーに事前に準備し、ユーザーに対しその名前を検索させるように
  仕向けることで、Unboundによる名前解決サービスをリモートから停止させ
  るサービス不能(DoS)攻撃が可能となります。

  なお、上記のうち(1)についてはUnboundにおいてDNSSEC検証を有効にしてい
  ない場合であっても該当するため、注意が必要です。

  なお、本脆弱性に関するCVE情報は、以下で公開されています。

  * Common Vulnerabilities and Exposures

    CVE - CVE-2011-4528
    <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4528>

▼一時的な回避策

  該当する名前(レコード)に対し、Unboundの設定ファイル(デフォルトで
  はunbound.conf)における「local-zone:」設定により権威DNSサーバーへの
  検索を抑制することで、本脆弱性を一時的に回避できます。

  しかし、攻撃者は自らが管理する任意の名前に対し、攻撃のトリガーとなる
  設定を任意のタイミングで有効にできるため、バージョンアップ以外の方法
  で本脆弱性を完全に回避することは困難です。

▼解決策

  Unbound 1.4.14/Unbound 1.4.13p2へのバージョンアップまたはNLnet
  Labsがリリースした緊急パッチの適用、または各ディストリビューションベ
  ンダーなどからリリースされるアップデートの適用が必要となります。

▼参考リンク

  以下に開発元のNLnet Labs、及び日本Unboundユーザ会からの情報へのリン
  クを記載します。また、各ディストリビューションベンダーからの情報や上
  記の脆弱性情報などもご確認の上、適切な対応をお願いいたします。

  * NLnet Labs

    Unbound denial of service vulnerabilities from nonstandard
    redirection and denial of existence [ VU#209659 CVE-2011-4528 ]
    <http://www.unbound.net/downloads/CVE-2011-4528.txt>

    Unbound 1.4.14
    <http://www.unbound.net/downloads/unbound-1.4.14.tar.gz>
    Unbound 1.4.13p2
    <http://www.unbound.net/downloads/unbound-1.4.13p2.tar.gz>

    Unbound 1.4.0から1.4.13に対するパッチ
    <http://www.unbound.net/downloads/patch_CVE-2011-4528_unbound_140-1413.diff>
    Unbound 1.0.1から1.3.4に対するパッチ
    <http://www.unbound.net/downloads/patch_CVE-2011-4528_unbound_101-134.diff>

  * 日本Unboundユーザ会

    Unbound サービス不能の脆弱性 [ VU#209659 CVE-2011-4528 ]
    <http://unbound.jp/news201112192/>

---------------------------------------------------------------------
▼更新履歴
  2011-12-20 11:00 初版作成
株式会社日本レジストリサービス Copyright©2001-2024 Japan Registry Services Co., Ltd.