DNS関連技術情報のトップへ戻る

---------------------------------------------------------------------
■BIND 9.10.xの脆弱性(DNSサービスの停止)について(2014年12月9日公開)
  - GeoIP機能を有効にしている場合のみ対象、バージョンアップを推奨 -

                                株式会社日本レジストリサービス(JPRS)
                                            初版作成 2014/12/09(Tue)
---------------------------------------------------------------------

▼概要

  BIND 9.10.xにおける実装上の不具合により、namedに対する外部からのサー
  ビス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されまし
  た。本脆弱性により、提供者が意図しないサービスの停止が発生する可能性
  があります。

  本脆弱性は、BIND 9.10系列でサポートされたGeoIP機能を有効にしている場
  合にのみ対象となります。GeoIP機能はオプションとして提供されており、
  コンパイル時に"--with-geoip"オプションを指定した場合にのみ有効となり
  ます。

  該当する条件でBIND 9.10.xを利用しているユーザーは、関連情報の収集や
  バージョンアップなど、適切な対応を速やかに取ることを強く推奨します。

▼詳細

  GeoIPは米国MaxMind社が提供する、IPアドレスとその利用地域をまとめたデー
  タベースです。GeoIPは表示するWebコンテンツのカスタマイズやネットワー
  クトラフィックの分析など、さまざまな用途に利用されています。

  BIND 9.10系列ではGeoIPを用いたアクセスコントロールリスト(ACLs)の記
  述をサポートしており、問い合わせ元IPアドレスの地域ごとにnamedの動作
  (応答内容の変更など)をカスタマイズできます(*1)。

  (*1)Using the GeoIP Features in BIND 9.10
        <https://kb.isc.org/article/AA-01149/>

  今回の脆弱性は、BIND 9.10.xにおけるGeoIP機能の実装上の不具合により、
  namedが異常終了することによるものです(*2)。

  (*2)本脆弱性によりnamedが異常終了した場合、assertion failureを引き
        起こした旨のメッセージがログに出力されます。

  本脆弱性により、DNSサービスの停止が発生する可能性があります。また、
  本脆弱性を利用した攻撃はリモートから可能です。

▽対象となるバージョン

  本脆弱性はBIND 9.10系列、かつGeoIP機能を有効にしている場合のみが対象
  となります。

  ・9.10系列: 9.10.0~9.10.1

▽影響範囲

  ISCは、本脆弱性の深刻度(Severity)を「高(High)」と評価しています。

  本脆弱性については、以下の脆弱性情報(*3)も併せてご参照ください。

  (*3)CVE - CVE-2014-8680
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8680>

▼一時的な回避策

  IPv4に加えIPv6のGeoIPデータベースを読み込ませるように設定することで
  今回報告されたGeoIP関連の二つの脆弱性のうち、一つを回避できます。し
  かし、もう一つには一時的な回避策は存在せず、パッチバージョンへの更新
  が必要です。

▼解決策

  本脆弱性を修正したパッチバージョン(BIND 9.10.1-P1)への更新、あるい
  は各ディストリビューションベンダーからリリースされる更新の適用を実施
  してください。

▼JP DNSサーバーにおける対応状況

  JP DNSサーバーは本脆弱性の対象となりません。

▼参考リンク

  以下に、ISCから発表されている情報へのリンクを記載します。また、各ディ
  ストリビューションベンダーからの情報や前述のCVEの情報などもご確認の
  上、適切な対応をとることを強く推奨します。

  - ISC

   セキュリティアドバイザリ
    CVE-2014-8680: Defects in GeoIP features can cause BIND to crash
    <https://kb.isc.org/article/AA-01217>

   パッチバージョンの入手先
    BIND 9.10.1-P1
    <http://ftp.isc.org/isc/bind9/9.10.1-P1/bind-9.10.1-P1.tar.gz>

▼連絡先

  本文書に関するお問い合わせは <dnstech-info@jprs.jp> までご連絡ください。

---------------------------------------------------------------------
▼更新履歴
  2014/12/09 11:00 初版作成


株式会社日本レジストリサービス Copyright©2001-2016 Japan Registry Services Co., Ltd.