DNS関連技術情報のトップへ戻る

---------------------------------------------------------------------
■NSD 3.2.11/3.2.12の脆弱性を利用したサービス不能(DoS)攻撃について
  - 設定の再確認と必要に応じた対策を推奨 -

                                株式会社日本レジストリサービス(JPRS)
                                            初版作成 2012/07/30(Mon)
---------------------------------------------------------------------

▼概要

  権威DNSサーバーの実装の一つであるNSD 3.2.11/3.2.12には実装上の不具合
  があり、サーバーに対するリモートからのサービス不能(DoS)攻撃が可能
  であることが、開発元のNLnet Labsから発表されました。本脆弱性により、
  提供者が意図しないサービスの停止が発生する可能性があります。

  ただし、本脆弱性はバージョン3.2.11において実験的に導入された、ゾーン
  ごとの統計機能を有効にしている場合にのみ該当します。そのため、該当す
  るNSD を利用しているユーザーは、設定の再確認と必要に応じた対策を取る
  ことを推奨します。

▼詳細

  NSD(Name Server Daemon)は権威DNSサーバーの実装の一つで、オランダの
  NLnet Labsで開発されています。NSDはオープンソースで開発されており、
  権威DNSサーバー機能に特化することで、高いパフォーマンスとシンプルな
  構造を実現しています(*1)。

  (*1)ルートサーバーの一部はNSDで運用されています。

  NSD 3.2.11/3.2.12では実装上の不具合により、バージョン3.2.11において
  実験的に導入された、ゾーンごとの統計機能(per zone statistics)を有
  効に設定していた場合(具体的には、configureの実行時に
  --enable-zone-statsオプションを指定していた場合)、権威を持たないデー
  タを応答する問い合わせを受信した際、サーバーの子プロセスが異常終了す
  る問題が発生します。異常終了した子プロセスは親プロセスによって自動的
  に再起動されますが、攻撃者が継続的に当該のDNSパケットを標的のサーバー
  に送信し続けることにより、サービス不能の状態にすることが可能となりま
  す。

  本脆弱性の対象となるNSDのバージョンは以下の通りです。

  ・NSD 3.2.11及び3.2.12

  本脆弱性については、以下の脆弱性情報(*2)も併せてご参照ください。

  (*2)CVE - CVE-2012-2979
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2979>

▼一時的な回避策

  ゾーンごとの統計機能を無効に設定してNSDを再インストールすることで、
  本脆弱性を回避できます。

▼解決策

  NSD 3.2.13へのバージョンアップ、またはNLnet Labsからリリースされた緊
  急パッチの適用、またはディストリビューションベンダーからリリースされ
  る更新の適用が必要となります。

  詳細につきましては、NLnet Labsが公開した情報(参考リンクに掲載)をご
  参照ください。

▼参考リンク

  以下に、NLnet Labsから発表されている情報へのリンクを記載します。また、
  各ディストリビューションベンダーからの情報やCVEの情報(*2)などもご
  確認の上、適切な対応をお願いいたします。

  * NLnet Labs

    Subject: NSD denial of service vulnerability from DNS packet when using
             --enable-zone-stats (default off). [VU#517036 CVE-2012-2979 ]
    <http://www.nlnetlabs.nl/downloads/CVE-2012-2979.txt>

    NSD 3.2.13
    <http://www.nlnetlabs.nl/downloads/nsd/nsd-3.2.13.tar.gz>

    NSD 3.2.11/3.2.12用のパッチ
    <http://www.nlnetlabs.nl/downloads/CVE-2012-2979/patch.diff>

---------------------------------------------------------------------
▼更新履歴
  2012-07-30 10:00 初版作成


株式会社日本レジストリサービス Copyright©2001-2016 Japan Registry Services Co., Ltd.