DNS関連技術情報のトップへ戻る

---------------------------------------------------------------------
■(緊急)BIND 9.10.xの脆弱性(DNSサービスの停止)について(2014年6月12日公開)
  - キャッシュ/権威DNSサーバーの双方が対象、バージョンアップを強く推奨 -

                                株式会社日本レジストリサービス(JPRS)
                                            初版作成 2014/06/12(Thu)
---------------------------------------------------------------------

▼概要

  BIND 9.10.xにおける実装上の不具合により、namedに対する外部からのサー
  ビス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されまし
  た。本脆弱性により、提供者が意図しないサービスの停止が発生する可能性
  があります。

  本脆弱性は影響が大きく、かつキャッシュDNSサーバー及び権威DNSサーバー
  の双方が対象となることから、該当するシステムを運用しているユーザーは、
  関連情報の収集やバージョンアップなど、適切な対応を速やかに取ることを
  強く推奨します。

▼詳細

  BIND 9.10.xにはEDNS0のオプションの処理に不具合があり、特別に作成され
  たDNS問い合わせの処理において、namedが異常終了を起こす障害が発生しま
  す(*1)。

  (*1)本脆弱性によりnamedが異常終了した場合、"REQUIRE" assertion
        failureを引き起こした旨のメッセージがログに出力されます。

  本脆弱性により、DNSサービスの停止が発生する可能性があります。本脆弱
  性を利用した攻撃はリモートから可能であり、かつ、キャッシュDNSサー
  バー/権威DNSサーバーの双方が対象となります。

  また、本脆弱性はBIND 9に付属のDNSライブラリ内に存在するため、当該ラ
  イブラリを使用しているnamed以外のプログラムやアプリケーションなどに
  おいても、影響を及ぼす可能性があります。

▽対象となるバージョン

  本脆弱性は、BIND 9.10系列のみが対象となります。

  ・9.10系列: 9.10.0~9.10.0-P1

▽影響範囲

  ISCは、本脆弱性の深刻度(Severity)を「重大(Critical)」と評価して
  います。本脆弱性は、

  ・キャッシュDNSサーバー及び権威DNSサーバーの双方が対象となること

  ・namedの設定ファイル(named.conf)によるアクセスコントロール(ACL)
    の設定では、影響を回避・軽減できないこと

  ・インターネットに直接接続していないキャッシュ/権威DNSサーバーも、
    攻撃の対象となりうること

  などから、広い範囲での適切な緊急対策が必要となります。

  本脆弱性については、以下の脆弱性情報(*2)も併せてご参照ください。

  (*2)CVE - CVE-2014-3859
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3859>

▼一時的な回避策

  現時点において、本脆弱性の一時的な回避策は知られておりません。

▼解決策

  本脆弱性を修正したパッチバージョン(BIND 9.10.0-P2)への更新、あるい
  は各ディストリビューションベンダーからリリースされる更新の適用を、速
  やかに実施してください。

▼参考リンク

  以下に、ISCから発表されている情報へのリンクを記載します。また、各ディ
  ストリビューションベンダーからの情報や前述のCVEの情報なども確認の上、
  適切な対応をとることを強く推奨します。

  - ISC

   セキュリティアドバイザリ

    CVE-2014-3859: named can crash due to a defect in EDNS printing processing
    <https://kb.isc.org/article/AA-01166/>

   パッチバージョンの入手先
    BIND 9.10.0-P2
    <http://ftp.isc.org/isc/bind9/9.10.0-P2/bind-9.10.0-P2.tar.gz>

▼連絡先

  本文書に関するお問い合わせは <dnstech-info@jprs.jp> までご連絡ください。

---------------------------------------------------------------------
▼更新履歴
  2014/06/12 11:00 初版作成


株式会社日本レジストリサービス Copyright©2001-2016 Japan Registry Services Co., Ltd.