---------------------------------------------------------------------
■(緊急)NSD 3.xの脆弱性を利用したサービス不能(DoS)攻撃について
- バージョンアップ/緊急パッチの適用を強く推奨 -
株式会社日本レジストリサービス(JPRS)
初版作成 2012/07/20(Fri)
---------------------------------------------------------------------
▼概要
権威DNSサーバーの実装の一つであるNSD 3.xには実装上の不具合があり、サー
バーに対するリモートからのサービス不能(DoS)攻撃が可能であることが、
開発元のNLnet Labsから発表されました。本脆弱性により、提供者が意図し
ないサービスの停止が発生する可能性があります。
本脆弱性は危険度が高いことから、該当するNSD 3.xを利用しているユーザー
は、関連情報の収集、バージョンアップ/緊急パッチの適用など、適切な対
応を速やかに取ることを強く推奨します。
▼詳細
NSD(Name Server Daemon)は権威DNSサーバーの実装の一つで、オランダの
NLnet Labsで開発されています。NSDはオープンソースで開発されており、
権威DNSサーバー機能に特化することで、高いパフォーマンスとシンプルな
構造を実現しています(*1)。
(*1)ルートサーバーの一部はNSDで運用されています。
NSD 3.xでは実装上の不具合により、特殊なDNSパケットを受信した場合に
null pointer dereferenceを引き起こし、サーバーの子プロセスが異常終了
する問題が発生します。異常終了した子プロセスは親プロセスによって自動
的に再起動されますが、攻撃者が継続的に当該のDNSパケットを標的のサー
バーに送信し続けることにより、サービス不能の状態にすることが可能とな
ります。
本脆弱性の対象となるNSDのバージョンは以下の通りです。
・NSD 3.x: すべてのNSD 3
(NSD 3.0.0-3.0.8、3.1.0-3.1.1、及び3.2.0-3.2.11)
・NSD 4.x: NSD 4 production branch
(NSD 4は現在開発中であり、開発者/評価者向けに提供されて
います)
本脆弱性については、以下の脆弱性情報(*2)も併せてご参照ください。
(*2)CVE - CVE-2012-2978
<https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2978>
▼一時的な回避策
本脆弱性の一時的な回避策はありません。
▼解決策
NSD 3.2.12へのバージョンアップ、またはNLnet Labsからリリースされた緊
急パッチの適用、またはディストリビューションベンダーからリリースされ
る更新の適用が必要となります。
今回、NLnet Labsからリリースされた緊急パッチは、NSD 3.xのすべてのバー
ジョンに適用可能となっています。詳細につきましては、NLnet Labsが公開
した情報(参考リンクに掲載)をご参照ください。
▼参考リンク
以下に、NLnet Labsから発表されている情報へのリンクを記載します。また、
各ディストリビューションベンダーからの情報やCVEの情報(*2)などもご
確認の上、適切な対応をお願いいたします。
* NLnet Labs
Subject: NSD denial of service vulnerability from non-standard DNS packet
from any host on the internet. [ VU#624931 CVE-2012-2978 ]
<http://www.nlnetlabs.nl/downloads/CVE-2012-2978.txt>
NSD 3.2.12
<http://www.nlnetlabs.nl/downloads/nsd/nsd-3.2.12.tar.gz>
NSD 3.x用の緊急パッチ
<http://www.nlnetlabs.nl/downloads/CVE-2012-2978/patch.diff>
---------------------------------------------------------------------
▼更新履歴
2012-07-20 10:00 初版作成
株式会社日本レジストリサービス Copyright©2001-2024 Japan Registry Services Co., Ltd.