DNS関連技術情報のトップへ戻る

---------------------------------------------------------------------
■(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(2014年1月14日公開)
  - NSEC3運用中の権威DNSサーバーが対象、バージョンアップを強く推奨 -

                                株式会社日本レジストリサービス(JPRS)
                                            初版作成 2014/01/14(Tue)
---------------------------------------------------------------------

▼概要

  BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービ
  ス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されました。
  本脆弱性により、提供者が意図しないサービスの停止が発生する可能性があ
  ります。

  本脆弱性は、権威DNSサーバーとしてNSEC3を用いてDNSSEC署名されたゾーン
  を保持している場合が対象となります。該当するシステムでBIND 9.xを利用
  しているユーザーは、関連情報の収集やバージョンアップなど、適切な対応
  を速やかに取ることを強く推奨します。

▼詳細

  DNSSECではデータの不在(該当のデータが存在しないこと)を証明する際、
  NSECまたはNSEC3レコードを使用します。

  不在証明にNSEC3を用いることで、ゾーンの列挙(Zone enumeration)(*1)
  を困難にすることができます。また、NSEC3は安全でない委任(*2)に対す
  るオプトアウト(Opt-Out)機能を備えており、そうした委任が多いゾーン
  におけるDNSSEC署名のコストを低減できます。これら二つの特徴から、.jp
  や.comなどTLDゾーンにおけるDNSSEC対応では、NSEC3を用いることが一般的
  です。

  今回の脆弱性は、BIND 9.xにおけるDNS問い合わせ受信時の処理の不具合に
  より、NSEC3を用いてDNSSEC署名されたゾーンを保持している権威DNSサーバー
  において特定のDNS問い合わせを処理中に、namedが"INSIST"メッセージを出
  力して異常終了するものです。

  本脆弱性により、DNSサービスの停止が発生する可能性があります。また、
  本脆弱性を利用した攻撃はリモートから可能です。

  (*1)NSECを用いてDNSSEC署名されたゾーンでは、DNS問い合わせによって
        NSECの連鎖を外部からたどることにより、そのゾーンのすべての内容
        を入手することが可能になります。

  (*2)委任先のゾーンがDNSSEC未対応である場合の委任。

▽対象となるバージョン

  本脆弱性は、BIND 9.6.0以降のすべてのバージョンのBIND 9が対象となり
  ます。そのため、以下のすべてのバージョンが対象に含まれます。

  ・9.6系列:9.6-ESV~9.6-ESV-R10-P1
  ・9.8系列:9.8.0~9.8.6-P1
  ・9.9系列:9.9.0~9.9.4-P1

  BIND 10は、本脆弱性の対象となりません。なお、ISCでは9.6-ESVを除く
  9.7以前の系列のBIND 9のサポートを終了しており、これらのバージョンに
  対するセキュリティパッチはリリースしないと発表しています。

▽影響範囲

  ISCは、本脆弱性の深刻度(Severity)を「高(High)」と評価しています。

  ただし、本脆弱性は、

  ・権威DNSサーバーとして、NSEC3を用いてDNSSEC署名されたゾーンを保持し
    ているnamed

  のみが該当します。キャッシュDNSサーバー機能のみのnamed(*3)、及び権
  威DNSサーバーであっても当該のゾーンを保持していないnamedは、本脆弱性
  の対象となりません。

  (*3)キャッシュDNSサーバーを権威DNSサーバーと兼用しており、かつ権威
        DNSサーバーとして当該のゾーンを保持しているnamedは、本脆弱性の
        対象となります。

  本脆弱性については、以下の脆弱性情報(*4)も併せてご参照ください。

  (*4)CVE - CVE-2014-0591
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0591>

  なお、現時点において本脆弱性に関する攻撃手法は知られていませんが、本
  件による障害発生時のトレース情報が公開のメーリングリスト上に流されて
  おり、注意が必要です。

▼一時的な回避策

  本脆弱性の一時的な回避策は存在しません。

▼解決策

  本脆弱性を修正したパッチバージョン(BIND 9.6-ESV-R10-P2/9.8.6-P2/
  9.9.4-P2)への更新、あるいは各ディストリビューションベンダーからリリー
  スされる更新の適用を、速やかに実施してください。

▼JP DNSサーバーにおける対応状況

  JP DNSサーバーでは本脆弱性への対応を完了しています。

▼参考リンク

  以下に、ISCから発表されている情報へのリンクを記載します。また、各ディ
  ストリビューションベンダーからの情報や前述のCVEの情報などもご確認の
  上、適切な対応をとることを強く推奨します。

  - ISC

   セキュリティアドバイザリ
    CVE-2014-0591: A Crafted Query Against an NSEC3-signed Zone Can Crash BIND
    <https://kb.isc.org/article/AA-01078>

   本脆弱性に関するFAQ及び追加情報
    CVE-2014-0591: FAQ and Supplemental Information
    <https://kb.isc.org/article/AA-01085>

   パッチバージョンの入手先
    BIND 9.6-ESV-R10-P2
    <http://ftp.isc.org/isc/bind9/9.6-ESV-R10-P2/bind-9.6-ESV-R10-P2.tar.gz>
    BIND 9.8.6-P2
    <http://ftp.isc.org/isc/bind9/9.8.6-P2/bind-9.8.6-P2.tar.gz>
    BIND 9.9.4-P2
    <http://ftp.isc.org/isc/bind9/9.9.4-P2/bind-9.9.4-P2.tar.gz>

▼連絡先

  本文書に関するお問い合わせは <dnstech-info@jprs.jp> までご連絡ください。

---------------------------------------------------------------------
▼更新履歴
  2014/01/14 11:00 初版作成


株式会社日本レジストリサービス Copyright©2001-2016 Japan Registry Services Co., Ltd.