DNS関連技術情報のトップへ戻る

---------------------------------------------------------------------
■BIND 9.xの脆弱性(サービス提供者が意図しないアクセスの許可)について
  (2013年11月7日公開)
  - Windows版のみが対象、バージョンアップを強く推奨 -

                                株式会社日本レジストリサービス(JPRS)
                                            初版作成 2013/11/07(Thu)
---------------------------------------------------------------------

▼概要

  Winsockライブラリの動作に起因する不具合により、特定の条件下において
  namedに内蔵されているlocalnetsアクセスコントロールリスト(以下、
  localnets ACL)が誤って設定される脆弱性が、開発元のISCから発表されま
  した。本脆弱性によりサービス提供者が意図しないアクセスの許可が実施さ
  れ、DNSリフレクター攻撃の踏み台としての悪用や、不正なゾーン転送によ
  るデータの流出などの不具合が発生する可能性があります。

  本脆弱性はWindows上で動作するnamedのみが対象となり、Unix上で動作する
  namedは対象となりません。該当するシステムでBIND 9.xを利用しているユー
  ザーは、関連情報の収集やバージョンアップなど、適切な対応を速やかに取
  ることを強く推奨します。

▼詳細

  複数のWindowsシステムに実装されているWinsockライブラリのWSAIoctl
  APIでは、ネットワークインターフェースのIPv4のネットマスクとして
  255.255.255.255(すべてのビットがセット)が設定されている場合、
  0.0.0.0(すべてのビットがクリア)を返します。

  BIND 9ではlocalnets ACLを作成する際、namedが使用するネットワークイン
  ターフェースのIPv4アドレスとネットマスクを調べ、その値により範囲を計
  算します。そのため、当該のWindowsシステムにおいてIPv4のネットマスク
  として255.255.255.255が設定されていた場合、作成されたlocalnets ACLに
  すべてのIPv4アドレスがマッチすることになります。

  localnets ACLはnamedにおいて、再帰検索要求の許可(allow-recursion)
  などのデフォルト設定として使われています。そのため、この状況が発生し
  た場合すべてのIPv4アドレスからの再帰検索要求が許可された状態、つまり、
  オープンリゾルバーの状態となります。結果として、当該のサーバーが外部
  からのDNSリフレクター攻撃の踏み台として悪用される可能性があります。

  また、他のオプションにおいてlocalnets ACLを指定していた場合も同様に、
  すべてのIPv4アドレスからのアクセスが許可された状態となります。これに
  より、不正なゾーン転送要求によるデータの流出や不正なダイナミックアッ
  プデートによるデータの改ざんなどが発生する可能性があります。

  なお、本脆弱性はWinsockライブラリの動作に起因する不具合であり、
  Windows上で動作するnamedのみが対象となります。Unix上で動作するnamed
  は本脆弱性の対象となりません。

▽対象となるバージョン

  本脆弱性は、Windows版のすべてのバージョンのBIND 9が対象となります。
  そのため、以下のすべてのバージョンが対象に含まれます。

  オープンソース版:
  ・9.6系列:9.6-ESV~9.6-ESV-R10
  ・9.8系列:9.8.0~9.8.6
  ・9.9系列:9.9.0~9.9.4

  サブスクリプション版:
  ・9.9.3-S1、9.9.4-S1

  BIND 10は、本脆弱性の対象となりません。なお、ISCでは9.6-ESVを除く
  9.7以前の系列のBIND 9のサポートを終了しており、これらのバージョンに
  対するセキュリティパッチはリリースしないと発表しています。

▽影響範囲

  ISCは、本脆弱性の深刻度(Severity)を「高(High)」と評価しています。
  ただし、本脆弱性は、

  ・Windows版のBIND 9を使用している
  ・かつ、ネットワークインターフェースのIPv4のネットマスクとして
    255.255.255.255が設定されている

  場合にのみ該当します。

  本脆弱性については、以下の脆弱性情報(*1)も併せてご参照ください。

  (*1)CVE - CVE-2013-6230
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6230>

▼一時的な回避策

  以下の方法により、本脆弱性の影響を回避できます。

  ・IPv4のネットマスクとして255.255.255.255を使用しない
  ・やむを得ず255.255.255.255を使用する場合、named.confにおける設定に
    localnets ACLを指定せず、かつ、デフォルト設定としてlocalnets ACLが
    使われているallow-recursionなどのオプションについては、ACLを別途指
    定する

▼解決策

  本脆弱性を修正したパッチバージョン(BIND 9.6-ESV-R10-P1/9.8.6-P1/
  9.9.4-P1)への更新、あるいは各ディストリビューションベンダーからリリー
  スされる更新の適用を、速やかに実施してください。

  なお、サブスクリプション版のパッチバージョンにつきましては、ISCのサ
  ポート窓口にお問い合わせください。

▼参考リンク

  以下に、ISCから発表されている情報へのリンクを記載します。また、各ディ
  ストリビューションベンダーからの情報や前述のCVEの情報などもご確認の
  上、適切な対応をとることを強く推奨します。

  - ISC

   セキュリティアドバイザリ
    CVE-2013-6230: A Winsock API Bug Can Cause a Side-Effect Affecting BIND ACLs
    <https://kb.isc.org/article/AA-01062>

   本脆弱性に関するFAQ及び追加情報
    CVE-2013-6230: FAQ and Supplemental Information
    <https://kb.isc.org/article/AA-01063>

   パッチバージョンの入手先
    BIND 9.6-ESV-R10-P1
    <http://ftp.isc.org/isc/bind9/9.6-ESV-R10-P1/bind-9.6-ESV-R10-P1.tar.gz>
    BIND 9.8.6-P1
    <http://ftp.isc.org/isc/bind9/9.8.6-P1/bind-9.8.6-P1.tar.gz>
    BIND 9.9.4-P1
    <http://ftp.isc.org/isc/bind9/9.9.4-P1/bind-9.9.4-P1.tar.gz>

   Windows版バイナリの入手先
    BIND 9.6-ESV-R10-P1
    <http://ftp.isc.org/isc/bind9/9.6-ESV-R10-P1/BIND9.6-ESV-R10-P1.zip>
    BIND 9.8.6-P1
    <http://ftp.isc.org/isc/bind9/9.8.6-P1/BIND9.8.6-P1.zip>
    BIND 9.9.4-P1
    <http://ftp.isc.org/isc/bind9/9.9.4-P1/BIND9.9.4-P1.zip>

▼連絡先

  本文書に関するお問い合わせは <dnstech-info@jprs.jp> までご連絡ください。

---------------------------------------------------------------------
▼更新履歴
  2013/11/07 11:00 初版作成


株式会社日本レジストリサービス Copyright©2001-2016 Japan Registry Services Co., Ltd.