BIND 9.8.x/9.9.xにおけるDNS64の実装上のバグによるnamedのサービス停止について（2012年12月5日公開）

DNS関連技術情報のトップへ戻る
---------------------------------------------------------------------
■BIND 9.8.x/9.9.xにおけるDNS64の実装上のバグによるnamedの
  サービス停止について（2012年12月5日公開） - バージョンアップを強く推奨 -

                               株式会社日本レジストリサービス（JPRS）
                                           初版作成 2012/12/05（Wed）
---------------------------------------------------------------------

▼概要

  BIND 9.8.x/9.9.xにおけるDNS64の実装上のバグにより、namedに対する外部
  からのサービス不能（DoS）攻撃が可能となる脆弱性が、開発元のISCから発
  表されました。本脆弱性により提供者が意図しないサービスの停止が発生す
  る可能性があります。

  該当するBIND 9.8.x/9.9.xにおいてDNS64を利用しているユーザーは、関連
  情報の収集、緊急パッチの適用など、適切な対応を取ることを強く推奨しま
  す。

▼詳細

  DNS64はRFC 6147により定義される、DNSのAレコードからAAAAレコードを合
  成するための仕組みです。RFC 6146により定義されるステートフルNAT64と
  組み合わせることにより、IPv6アドレスのみを持つクライアントからIPv4ア
  ドレスのみを持つサーバーへの、ドメイン名を用いた透過的なアクセスを実
  現できます。BIND 9では9.8.0以降のバージョンで、DNS64をサポートしてい
  ます（ただし、デフォルトではDNS64は無効に設定されています）。

  BIND 9.8.x/9.9.xでは実装上のバグにより、DNS64を有効にしたnamedに対し
  特定のDNSパケットを作成、送信することでnamedが異常終了を起こす障害が
  発生します。

▽対象となるバージョン

  本脆弱性の対象となるBIND 9.8.x/9.9.xのバージョンは以下の通りです。

  ・9.8系列: 9.8.0～9.8.4
  ・9.9系列: 9.9.0～9.9.2

▽影響範囲

  ISCは、本脆弱性の深刻度（Severity）を「重大（Critical）」と評価して
  います。

  なお、namedにおいてDNS64を有効にしていない（named.confにおいて
  "dns64"ステートメントを設定していない）場合、本脆弱性の影響を受けま
  せん。また、DNS64が実装されていないBIND 9.7以前のバージョンは、本脆
  弱性の影響を受けません。

  本脆弱性については、以下の脆弱性情報（*1）も併せてご参照ください。

  （*1）CVE - CVE-2012-5688
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5688>

▼一時的な回避策

  適切なアクセスコントロールの実施により、この脆弱性による危険性を低減
  できます。ただし、この方法は根本的な問題解決とはならないことに注意が
  必要です。

▼解決策

  BIND 9.9.2-P1/9.8.4-P1へのアップグレード、または各ディストリビューショ
  ンベンダーからリリースされるパッチの適用を実施してください。

▼参考リンク

  以下に、開発元であるISCから発表されている情報へのリンクを記載します。
  また、各ディストリビューションベンダーからの情報やCVEの情報（*1）な
  どもご確認の上、適切な対応をお願いいたします。

  * ISC

    CVE-2012-5688: BIND 9 servers using DNS64 can be crashed by a crafted query
    <https://kb.isc.org/article/AA-00828>
    CVE-2012-5688 [JP]: DNS64を利用するBIND 9サーバが細工されたクエリによってクラッシュする
    <https://kb.isc.org/article/AA-00832>

    BIND 9.9.2-P1
    <http://ftp.isc.org/isc/bind9/9.9.2-P1/bind-9.9.2-P1.tar.gz>
    BIND 9.8.4-P1
    <http://ftp.isc.org/isc/bind9/9.8.4-P1/bind-9.8.4-P1.tar.gz>

▼連絡先

  本文書に関するお問い合わせは <dnstech-info@jprs.jp> までご連絡ください。

---------------------------------------------------------------------
▼更新履歴
  2011-12-05 11:00 初版作成