BIND 9.8.x/9.9.xにおけるDNS64/RPZの実装上のバグによるnamedのサービス停止について（2013年1月25日公開）

DNS関連技術情報のトップへ戻る
---------------------------------------------------------------------
■BIND 9.8.x/9.9.xにおけるDNS64/RPZの実装上のバグによる
  namedのサービス停止について（2013年1月25日公開）

                                株式会社日本レジストリサービス（JPRS）
                                            初版作成 2013/01/25（Fri）
---------------------------------------------------------------------

▼概要

  BIND 9.8.x/9.9.xにおけるDNS64/RPZの実装上のバグにより、namedに対する
  外部からのサービス不能（DoS）攻撃が可能となる脆弱性が、開発元のISCか
  ら発表されました。本脆弱性により提供者が意図しないサービスの停止が発
  生する可能性があります。

  該当するBIND 9.8.x/9.9.xにおいてDNS64とRPZの双方を有効に設定している
  ユーザーは、関連情報の収集や回避策の適用など、適切な対応を取ることを
  推奨します。

▼詳細

  DNS64はRFC 6147で定義される、AレコードからAAAAレコードを合成するため
  の仕組みです。RFC 6146で定義されるステートフルNAT64と組み合わせるこ
  とにより、IPv6アドレスのみを持つクライアントからIPv4アドレスのみを持
  つサーバーへの、ドメイン名を用いた透過的なアクセスを実現できます。

  RPZ（Response Policy Zones）はキャッシュDNSサーバーがクライアントに
  返す応答内容を、そのキャッシュDNSサーバーの運用者のポリシーにより制
  御可能にする機能を提供します。RPZの技術的詳細については、ISCが公開し
  ている以下の情報をご参照ください。

  （*1）DNS Response Policy Zones (DNS RPZ)
        <http://ftp.isc.org/isc/dnsrpz/isc-tn-2010-1.txt>
        What is RPZ, Response Policy Zones
        <https://www.isc.org/software/rpz>

  DNS64/RPZは共に、BIND 9.8.0以降でサポートされています。ただし、双方
  ともデフォルトでは無効に設定されています。

  今回の問題はBIND 9.8.x/9.9.xの実装上のバグにより、DNS64とRPZの双方を
  有効に設定し、かつRPZによる書き換えとDNS64によるマッピングが特定の条
  件で競合した場合に、namedが異常終了を起こす障害が発生するものです。

▽対象となるバージョン

  本脆弱性の対象となるBIND 9.8.x/9.9.xのバージョンは以下の通りです。

  ・9.8系列: 9.8.0～9.8.4-P1
  ・9.9系列: 9.9.0～9.9.2-P1

▽影響範囲

  ISCは、本脆弱性の深刻度（Severity）を「低（Low）」と評価しています。
  その理由として、

  - 本脆弱性はDNS64とRPZの双方を有効に設定している場合にのみ対象となり、
    該当するシステムは極めて少ないと考えられること

  - 本脆弱性にはシンプルかつ完全な回避策が存在すること

  の2点を挙げています。

  また、ISCは本脆弱性を修正するパッチリリースを提供する計画はなく、通
  常の開発サイクルにより修正する予定であると発表しています。

  本脆弱性については、以下の脆弱性情報（*2）も併せてご参照ください。

  （*2）CVE - CVE-2012-5689
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5689>

▼回避策

  RPZにAレコードの書き換えルールが存在する場合、対象の名前に対する
  AAAAレコードの書き換えルールを併せて記述することにより、本脆弱性の影
  響を回避できます。

  なお、DNS64とRPZの双方を有効に設定していない場合、またはRPZにおいて
  当該の書き換えルールが存在しない場合、回避策の適用は必要ありません。

▼解決策

  上記の回避策を適用するか、将来リリース予定の本脆弱性に対する修正が含
  まれたBIND 9にバージョンアップします。

▼参考リンク

  以下に、ISCから発表されている情報へのリンクを記載します。また、各ディ
  ストリビューションベンダーからの情報や前述のCVE情報などもご確認の上、
  適切な対応をお願いいたします。

  - ISC

    CVE-2012-5689: BIND 9 with DNS64 enabled can unexpectedly terminate
    when resolving domains in RPZ
    <https://kb.isc.org/article/AA-00855>

▼連絡先

  本文書に関するお問い合わせは <dnstech-info@jprs.jp> までご連絡ください。

---------------------------------------------------------------------
▼更新履歴
  2013-01-25 11:00 初版作成