（緊急）BIND 9.xの脆弱性（サービス停止）について（2012年10月10日公開）

DNS関連技術情報のトップへ戻る
---------------------------------------------------------------------
■（緊急）BIND 9.xの脆弱性（サービス停止）について（2012年10月10日公開）
  - キャッシュ／権威DNSサーバーの双方が対象、パッチの適用を強く推奨 -

                                株式会社日本レジストリサービス（JPRS）
                                            初版作成 2012/10/10（Wed）
---------------------------------------------------------------------

▼概要

  BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービ
  ス不能（DoS）攻撃が可能となる脆弱性が、開発元のISCから発表されました。
  本脆弱性により、提供者が意図しないサービスの停止が発生する可能性があ
  ります。

  本脆弱性は影響が大きく、かつキャッシュDNSサーバー及び権威DNSサーバー
  の双方が対象となることから、該当するBIND 9.xを利用しているユーザーは、
  関連情報の収集、緊急パッチの適用など、適切な対応を速やかに取ることを
  強く推奨します。

▼詳細

  BIND 9.xではリソースレコード（RR）の取り扱いに不具合があり、特定の
  RDATAの組み合わせが読み込まれた場合、以降の関連するRRの問い合わせに
  より、namedがロックアップする（無応答になる）障害が発生します。

  本脆弱性によりロックアップしたnamedは、強制終了／再起動以外の方法で
  は元の状態に回復しません。また、本脆弱性を利用した攻撃はリモートから
  可能であり、かつ、キャッシュDNSサーバー／権威DNSサーバーの双方が対象
  となります。

▽対象となるバージョン

  本脆弱性は、BIND 9.2以降のすべてのバージョンのBIND 9が対象となります。
  そのため、以下のすべてのバージョンが対象に含まれます。

  ・9.6系列: 9.6-ESV～9.6-ESV-R7-P3
  ・9.7系列: 9.7.0～9.7.6-P3
  ・9.8系列: 9.8.0～9.8.3-P3
  ・9.9系列: 9.9.0～9.9.1-P3

  なお、ISCでは9.5以前の系列のBIND 9のサポートを終了しており、これらの
  バージョンに対するセキュリティパッチはリリースしないと発表しています。

▽影響範囲

  ISCは、本脆弱性の深刻度（Severity）を「重大（Critical）」と評価してい
  ます。本脆弱性は、

  ・キャッシュDNSサーバー及び権威DNSサーバーの双方が対象となること

  ・多くのバージョンのBIND 9が対象となること

  ・インターネットに直接接続していないキャッシュ／権威DNSサーバーも、
    攻撃の対象となりうること

  などから、広い範囲での適切な緊急対策が必要となります。

  本脆弱性については、以下の脆弱性情報（*1）も併せてご参照ください。

  （*1）CVE - CVE-2012-5166
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5166>

▽攻撃シナリオ例

  ISCが発表した、本脆弱性における攻撃シナリオ例を示します。なお、これ
  らは代表的なものであり、これら以外の攻撃シナリオも考えられます。

  ・キャッシュDNSサーバー

    当該RDATAの組み合わせを含むRRを攻撃者が管理するゾーンの権威DNSサー
    バー上に作成し、標的となるキャッシュDNSサーバーに名前検索させる。

  ・権威DNSサーバー

    当該RDATAの組み合わせを含むRRをゾーンファイル、ゾーン転送あるいは
    ダイナミックアップデートにより、標的となる権威DNSサーバーに読み込
    ませる。

▼一時的な回避策

  BIND 9の設定ファイル（named.conf）において、"minimal-responses"オプ
  ションを"yes"に設定することにより、本脆弱性を回避できます。

▼解決策

  本脆弱性を修正したパッチバージョン（BIND 9.9.1-P4/9.8.3-P4/9.7.6-P4/
  9.6-ESV-R7-P4）、または新リリース（BIND 9.9.2/9.8.4/9.7.7/9.6-ESV-R8）
  への更新、あるいは各ディストリビューションベンダーからリリースされる
  パッチの適用を、速やかに実施してください。

▼参考リンク

  以下に、ISCから発表されている情報へのリンクを記載します。また、各ディ
  ストリビューションベンダーからの情報やCVEの情報（*1）などもご確認の
  上、適切な対応をお願いいたします。

  * ISC

    CVE-2012-5166: Specially crafted DNS data can cause a lockup in named
    <https://kb.isc.org/article/AA-00801>
    CVE-2012-5166 [JP]: 特別に細工されたDNSのデータによるnamedのハングアップ
    <https://kb.isc.org/article/AA-00808>

    BIND 9.9.1-P4
    <http://ftp.isc.org/isc/bind9/9.9.1-P4/bind-9.9.1-P4.tar.gz>
    BIND 9.8.3-P4
    <http://ftp.isc.org/isc/bind9/9.8.3-P4/bind-9.8.3-P4.tar.gz>
    BIND 9.7.6-P4
    <http://ftp.isc.org/isc/bind9/9.7.6-P4/bind-9.7.6-P4.tar.gz>
    BIND 9.6-ESV-R7-P4
    <http://ftp.isc.org/isc/bind9/9.6-ESV-R7-P4/bind-9.6-ESV-R7-P4.tar.gz>

    BIND 9.9.2
    <http://ftp.isc.org/isc/bind9/9.9.2/bind-9.9.2.tar.gz>
    BIND 9.8.4
    <http://ftp.isc.org/isc/bind9/9.8.4/bind-9.8.4.tar.gz>
    BIND 9.7.7
    <http://ftp.isc.org/isc/bind9/9.7.7/bind-9.7.7.tar.gz>
    BIND 9.6-ESV-R8
    <http://ftp.isc.org/isc/bind9/9.6-ESV-R8/bind-9.6-ESV-R8.tar.gz>

▼連絡先

  本文書に関するお問い合わせは <dnstech-info@jprs.jp> までご連絡ください。

---------------------------------------------------------------------
▼更新履歴
  2012-10-10 10:00 初版作成