---------------------------------------------------------------------
■NSD 3.2.11/3.2.12の脆弱性を利用したサービス不能(DoS)攻撃について
- 設定の再確認と必要に応じた対策を推奨 -
株式会社日本レジストリサービス(JPRS)
初版作成 2012/07/30(Mon)
---------------------------------------------------------------------
▼概要
権威DNSサーバーの実装の一つであるNSD 3.2.11/3.2.12には実装上の不具合
があり、サーバーに対するリモートからのサービス不能(DoS)攻撃が可能
であることが、開発元のNLnet Labsから発表されました。本脆弱性により、
提供者が意図しないサービスの停止が発生する可能性があります。
ただし、本脆弱性はバージョン3.2.11において実験的に導入された、ゾーン
ごとの統計機能を有効にしている場合にのみ該当します。そのため、該当す
るNSD を利用しているユーザーは、設定の再確認と必要に応じた対策を取る
ことを推奨します。
▼詳細
NSD(Name Server Daemon)は権威DNSサーバーの実装の一つで、オランダの
NLnet Labsで開発されています。NSDはオープンソースで開発されており、
権威DNSサーバー機能に特化することで、高いパフォーマンスとシンプルな
構造を実現しています(*1)。
(*1)ルートサーバーの一部はNSDで運用されています。
NSD 3.2.11/3.2.12では実装上の不具合により、バージョン3.2.11において
実験的に導入された、ゾーンごとの統計機能(per zone statistics)を有
効に設定していた場合(具体的には、configureの実行時に
--enable-zone-statsオプションを指定していた場合)、権威を持たないデー
タを応答する問い合わせを受信した際、サーバーの子プロセスが異常終了す
る問題が発生します。異常終了した子プロセスは親プロセスによって自動的
に再起動されますが、攻撃者が継続的に当該のDNSパケットを標的のサーバー
に送信し続けることにより、サービス不能の状態にすることが可能となりま
す。
本脆弱性の対象となるNSDのバージョンは以下の通りです。
・NSD 3.2.11及び3.2.12
本脆弱性については、以下の脆弱性情報(*2)も併せてご参照ください。
(*2)CVE - CVE-2012-2979
<https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2979>
▼一時的な回避策
ゾーンごとの統計機能を無効に設定してNSDを再インストールすることで、
本脆弱性を回避できます。
▼解決策
NSD 3.2.13へのバージョンアップ、またはNLnet Labsからリリースされた緊
急パッチの適用、またはディストリビューションベンダーからリリースされ
る更新の適用が必要となります。
詳細につきましては、NLnet Labsが公開した情報(参考リンクに掲載)をご
参照ください。
▼参考リンク
以下に、NLnet Labsから発表されている情報へのリンクを記載します。また、
各ディストリビューションベンダーからの情報やCVEの情報(*2)などもご
確認の上、適切な対応をお願いいたします。
* NLnet Labs
Subject: NSD denial of service vulnerability from DNS packet when using
--enable-zone-stats (default off). [VU#517036 CVE-2012-2979 ]
<http://www.nlnetlabs.nl/downloads/CVE-2012-2979.txt>
NSD 3.2.13
<http://www.nlnetlabs.nl/downloads/nsd/nsd-3.2.13.tar.gz>
NSD 3.2.11/3.2.12用のパッチ
<http://www.nlnetlabs.nl/downloads/CVE-2012-2979/patch.diff>
---------------------------------------------------------------------
▼更新履歴
2012-07-30 10:00 初版作成
株式会社日本レジストリサービス Copyright©2001-2024 Japan Registry Services Co., Ltd.