DNS関連技術情報のトップへ戻る

---------------------------------------------------------------------
■(緊急)BIND 9.10.0の脆弱性(DNSサービスの停止)について(2014年5月9日公開)
  - BIND 9.10.0のキャッシュDNSサーバーが対象、バージョンアップを強く推奨 -

                                株式会社日本レジストリサービス(JPRS)
                                            初版作成 2014/05/09(Fri)
---------------------------------------------------------------------

▼概要

  BIND 9.10.0における実装上の不具合により、namedに対する外部からのサー
  ビス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されまし
  た。本脆弱性により、提供者が意図しないサービスの停止が発生する可能性
  があります。

  注意:既に、本脆弱性による複数の障害事例が報告されています。

  本脆弱性は、キャッシュDNSサーバーとしてBIND 9.10.0を利用している場合
  にのみ対象となります。該当するシステムを運用しているユーザーは、関連
  情報の収集やバージョンアップなど、適切な対応を速やかに取ることを強く
  推奨します。

▼詳細

  BIND 9.10では名前解決のパフォーマンスを向上させるため、キャッシュ済
  みのリソースレコードをキャッシュの満了前に自動的に再検索し、リフレッ
  シュする機能が実装されています。ISCではこの機能を「プリフェッチ
  (prefetch)」と呼んでいます(*1)。BIND 9.10.0では、プリフェッチ機
  能がデフォルトで有効に設定されています。

  (*1)New Features in BIND 9.10
        <https://kb.isc.org/article/AA-01118/>

  今回の脆弱性は、BIND 9.10.0におけるプリフェッチ機能の実装上の不具合
  により、特定の属性を持つ応答を返す問い合わせの処理においてnamedが異
  常終了することによるものです(*2)。

  (*2)本脆弱性によりnamedが異常終了した場合、"REQUIRE" assertion
        failureを引き起こした旨のメッセージがログに出力されます。

  本脆弱性により、DNSサービスの停止が発生する可能性があります。本脆弱
  性は通常の問い合わせ処理において発生する可能性があり、かつ、本脆弱性
  を利用した攻撃がリモートから可能です。

▽対象となるバージョン

  本脆弱性は、BIND 9.10.0のみが対象となります。

▽影響範囲

  ISCは、本脆弱性の深刻度(Severity)を「高(High)」と評価しています。

  ただし、キャッシュDNSサーバー機能を無効に設定しているnamedは、本脆弱
  性の対象となりません(*3)。

  (*3)キャッシュDNSサーバーを権威DNSサーバーと兼用しているnamedは、
        本脆弱性の対象となります。

  本脆弱性については、以下の脆弱性情報(*4)も併せてご参照ください。

  (*4)CVE - CVE-2014-3214
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3214>

▼一時的な回避策

  namedの設定ファイル(named.conf)において、以下のようにprefetchオプ
  ションに0を設定してプリフェッチ機能を無効にすることで、本脆弱性の影
  響を回避できます。

    prefetch 0;

▼解決策

  本脆弱性を修正したパッチバージョン(BIND 9.10.0-P1)への更新、あるい
  は各ディストリビューションベンダーからリリースされる更新の適用を、速
  やかに実施してください。

▼参考リンク

  以下に、ISCから発表されている情報へのリンクを記載します。また、各ディ
  ストリビューションベンダーからの情報や前述のCVEの情報なども確認の上、
  適切な対応をとることを強く推奨します。

  - ISC

   セキュリティアドバイザリ
    CVE-2014-3214: A Defect in Prefetch Can Cause Recursive Servers to Crash
    <https://kb.isc.org/article/AA-01161/>

   パッチバージョンの入手先
    BIND 9.10.0-P1
    <http://ftp.isc.org/isc/bind9/9.10.0-P1/bind-9.10.0-P1.tar.gz>

▼連絡先

  本文書に関するお問い合わせは <dnstech-info@jprs.jp> までご連絡ください。

---------------------------------------------------------------------
▼更新履歴
  2014/05/09 13:00 初版作成


株式会社日本レジストリサービス Copyright©2001-2016 Japan Registry Services Co., Ltd.