DNS関連技術情報のトップへ戻る

---------------------------------------------------------------------
■BIND 9.xの大量のDNSSEC検証要求受信時におけるサービス停止について
  - バージョンアップを強く推奨 -

                                株式会社日本レジストリサービス(JPRS)
                                            初版作成 2012/07/25(Wed)
---------------------------------------------------------------------

▼概要

  BIND 9.xの高負荷環境下におけるキャッシュデータの取り扱いの不具合によ
  り、namedに対する外部からのサービス不能(DoS)攻撃が可能となることが、
  開発元のISCから発表されました。本脆弱性により、提供者が意図しないサー
  ビスの停止が発生する可能性があります。

  該当するBIND 9.xを利用しているユーザーは、関連情報の収集、緊急パッチ
  の適用など、適切な対応を速やかに取ることを強く推奨します。

▼詳細

  BIND 9.xでは実装上の不具合により、キャッシュDNSサーバーにおいて
  DNSSEC検証機能を有効にした状態で大量のDNSSEC検証要求を受け取った際、
  assertion failureエラーを引き起こし、namedが異常終了する障害が発生す
  る場合があります。

  本脆弱性は、キャッシュDNSサーバーにおいてDNSSEC検証を有効にしている
  場合にのみ対象となります。キャッシュDNSサーバー機能を有効にしていな
  い、あるいは、DNSSEC検証機能を有効にしていない場合、対象となりません。

  対象となるBIND 9.xのバージョンは以下の通りです。

  ・9.6系列: 9.6-ESV~9.6-ESV-R7-P1
  ・9.7系列: 9.7.1~9.7.6-P1
  ・9.8系列: 9.8.0~9.8.3-P1
  ・9.9系列: 9.9.0~9.9.1-P1

  上記に加え、9.4系及び9.5系についても本脆弱性の対象となります。ただし、
  ISCではこれらのバージョンのサポートを終了しており、これらのバージョ
  ンに対するセキュリティパッチはリリースしないと発表しています。

▼影響範囲

  開発元であるISCは、本脆弱性の深刻度(Severity)を「重大(Critical)」
  と評価しています。

  本脆弱性については、以下の脆弱性情報(*1)も併せてご参照ください。

  (*1)CVE - CVE-2012-3817
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-3817>

▼一時的な回避策

  本脆弱性の一時的な回避策はありません。

▼解決策

  BIND 9.9.1-P2/9.8.3-P2/9.7.6-P2/9.6-ESV-R7-P2へのアップグレード、ま
  たは各ディストリビューションベンダーからリリースされるパッチの適用を、
  速やかに実施してください。

▼参考リンク

  以下に、開発元であるISCから発表されている情報へのリンクを記載します。
  また、各ディストリビューションベンダーからの情報やCVEの情報(*1)な
  どもご確認の上、適切な対応をお願いいたします。

  * ISC

    CVE-2012-3817: Heavy DNSSEC Validation Load Can Cause a "Bad Cache"
      Assertion Failure in BIND9
    <https://kb.isc.org/article/AA-00729>
    CVE-2012-3817 [JP]: 高負荷のDNSSEC検証によってBIND9に"Bad Cache"
      表明違反が発生する
    <https://kb.isc.org/article/AA-00752>

    BIND 9.9.1-P2
    <http://ftp.isc.org/isc/bind9/9.9.1-P2/bind-9.9.1-P2.tar.gz>
    BIND 9.8.3-P2
    <http://ftp.isc.org/isc/bind9/9.8.3-P2/bind-9.8.3-P2.tar.gz>
    BIND 9.7.6-P2
    <http://ftp.isc.org/isc/bind9/9.7.6-P2/bind-9.7.6-P2.tar.gz>
    BIND 9.6-ESV-R7-P2
    <http://ftp.isc.org/isc/bind9/9.6-ESV-R7-P2/bind-9.6-ESV-R7-P2.tar.gz>

---------------------------------------------------------------------
▼更新履歴
  2012-07-25 10:00 初版作成

株式会社日本レジストリサービス Copyright©2001-2016 Japan Registry Services Co., Ltd.