---------------------------------------------------------------------
■(緊急)複数のDNSソフトウェアにおける脆弱性(システム資源の過度な消費)
について(2014年12月9日公開)
- BIND 9では権威DNSサーバーにも限定的に影響、バージョンアップを強く推奨 -
株式会社日本レジストリサービス(JPRS)
初版作成 2014/12/09(Tue)
最終更新 2014/12/25(Thu)
(米国The CERT Divisionの注意喚起・Vendor Informationへのリンクを追加)
---------------------------------------------------------------------
▼概要
BIND 9・Unbound・PowerDNS Recursorを含む複数のDNSソフトウェアにおけ
る実装上の問題により、DNSサーバープロセスに対し外部からの攻撃が可能
となる脆弱性が発表されました。本脆弱性によりnamedやunboundなどのサー
バープロセスがCPUやメモリ、ネットワークなどのシステム資源の過度な消
費を引き起こし、結果として当該のサーバーの異常動作やサービスの停止な
どにつながる可能性があります。
本脆弱性は影響が大きく、かつBIND 9ではキャッシュDNSサーバーに加え、
権威DNSサーバーにも限定的に影響を及ぼすと発表されています。そのため、
該当するDNSソフトウェアを利用しているユーザーは、関連情報の収集及び、
バージョンアップなどの適切な対応を取ることを強く推奨します。
▼詳細
DNSでは、ドメイン名の階層をゾーン単位に分割することで分散管理を実現
します。各ゾーンは親から子に設定される委任(delegation)により関連づ
けられ、キャッシュDNSサーバーが設定された委任をルートゾーンから順に
たどることで、名前解決を実行します。
本脆弱性は、委任において設定される権威DNSサーバーの台数や委任の段数、
いわゆる外部名(out-of-bailiwick names)をたどる場合の参照の段数など
に、適切な制限値が設定されていないために発生します。
適切な制限値が設定されていない実装では、攻撃者が自らの管理下にあるゾー
ンにおいて悪意を持つ委任を設定したうえでその委任を参照する名前解決を
実行させることにより、攻撃対象のキャッシュDNSサーバーのCPUやメモリ、
ネットワークなどのシステム資源を過度に消費させることができます。結果
として、namedやunboundなどのサーバープロセスやサーバーそのものの異常
動作・サービス停止などのサービス不能(DoS)攻撃が可能となります。
本脆弱性は、DNSの基本仕様における定義の不明確さ、及び各実装における
不備の双方に起因しています。そのため、複数のDNSソフトウェアがその対
象となり得ます。
▽対象となる実装/サービス・バージョン
現時点において判明している、本脆弱性が影響を及ぼすDNSソフトウェアは
以下の通りです。
・すべてのバージョンのBIND 9
・すべてのバージョンのUnbound
・すべてのバージョンのPowerDNS Recursor
本脆弱性はキャッシュDNSサーバーの機能に存在する脆弱性であり、権威
DNSサーバーは対象となりません。しかし、BIND 9ではキャッシュDNSサーバー
と権威DNSサーバーの機能が一つのサーバープログラムに共存しており、双
方が有効に設定されている場合、本脆弱性の対象となります。
また、BIND 9では外部からの名前解決要求を無効に設定している、具体的に
はnamed.confなどの設定ファイルにおいて「recursion no;」オプションを
指定している場合であっても、本脆弱性が影響を及ぼす場合があることに注
意が必要です(*1)。
(*1)例えば、DNS NOTIFY機能においてNOTIFYメッセージの送信先がホスト
名で設定されている場合などが該当します。
(2014年12月25日追加)
米国のThe CERT Divisionが、各ベンダーにおける対応状況と公開情報への
リンクをまとめた「Vendor Information」を公開しています。本注意喚起の
「解決策」の項目を参照ください。
▽影響範囲
ISCは、本脆弱性の深刻度(Severity)を「重大(Critical)」と評価して
います。本脆弱性は、
・すべてのバージョンのBIND 9・Unbound・PowerDNS Recursorなど、複数の
DNSソフトウェアに影響を及ぼすこと
・BIND 9ではキャッシュDNSサーバーに加え、権威DNSサーバーにも影響を及
ぼし得ること
・インターネットに直接接続していないキャッシュ/権威DNSサーバーも、
攻撃の対象となり得ること
などから、広い範囲での緊急対策が必要となります。
本脆弱性については、以下の脆弱性情報(*2、*3、*4)も併せてご参照くだ
さい。
(*2)CVE - CVE-2014-8500 (BIND 9)
<https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8500>
(*3)CVE - CVE-2014-8602 (Unbound)
<https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8602>
(*4)CVE - CVE-2014-8601 (PowerDNS Recursor)
<https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8601>
▼一時的な回避策
ISCでは、BIND 9における本脆弱性の一時的な回避策は存在しないと発表し
ており、ソフトウェアの更新を呼び掛けています。
NLnet Labsが発表した、Unboundにおける本脆弱性の一時的な回避策を以下
に示します。NLnet Labsではこれらの対策は一時的なものであり、根本的な
対策はソフトウェアの更新であるとしています。
・unbound-control flush_requestlistコマンドによるリクエストのクリア
・local-data機能によるローカルゾーンの設定
・access-control機能によるDNSクライアントに対するアクセス制限の適用
・do-not-query-address機能による権威DNSサーバーへの問い合わせの抑制
PowerDNS.COM BVでは、PowerDNS Recursorにおける影響軽減策として
allow-from機能によるDNSクライアントに対するアクセス制限の適用を発表
しており、根本的な対策はソフトウェアの更新であるとしています。
▼解決策
本脆弱性を修正した以下のバージョン、あるいは各ディストリビューション
ベンダーなどからリリースされる修正版への更新を、速やかに実施してくだ
さい。
・BIND 9
- BIND 9.10.1-P1
- BIND 9.9.6-P1
・Unbound
- Unbound 1.5.1
・PowerDNS Recursor
- PowerDNS Recursor 3.6.2
本脆弱性は、上記に挙げたBIND 9・Unbound・PowerDNS Recursor以外にも、
フルリゾルバーの機能を持つDNSソフトウェアであった場合その対象となり
うることに注意が必要です。上記以外のソフトウェアを利用している場合、
それぞれのリリース元からの情報などを別途ご参照・ご確認ください。
(2014年12月25日追加:参考情報)
米国のThe CERT Divisionが、本件に関する注意喚起を公開しました(*5)。
その中で、各ベンダーにおける対応状況と公開情報へのリンクをまとめた
「Vendor Information」を公開しています(*6)。
(*5)Vulnerability Note VU#264212
Recursive DNS resolver implementations may follow referrals infinitely
<https://www.kb.cert.org/vuls/id/264212>
(*6)Vendor Information for VU#264212
Recursive DNS resolver implementations may follow referrals infinitely
<https://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=264212&SearchOrder=4>
▼JP DNSサーバーにおける対応状況
JP DNSサーバーは本脆弱性の対象となりません。
▼参考リンク
以下に、各ベンダーから発表されている情報へのリンクを記載します。また、
各ディストリビューションベンダーからの情報や前述のCVEの情報などもご
確認の上、適切な対応をとることを強く推奨します。
- ISC
セキュリティアドバイザリ
CVE-2014-8500: A Defect in Delegation Handling Can Be Exploited
to Crash BIND
<https://kb.isc.org/article/AA-01216>
パッチバージョンの入手先
BIND 9.10.1-P1
<http://ftp.isc.org/isc/bind9/9.10.1-P1/bind-9.10.1-P1.tar.gz>
BIND 9.9.6-P1
<http://ftp.isc.org/isc/bind9/9.9.6-P1/bind-9.9.6-P1.tar.gz>
- NLnet Labs
セキュリティアドバイザリ
<http://unbound.net/downloads/CVE-2014-8602.txt>
パッチバージョンの入手先
Unbound 1.5.1
<http://unbound.net/downloads/unbound-1.5.1.tar.gz>
- PowerDNS.COM BV
セキュリティアドバイザリ
PowerDNS Security Advisory 2014-02: PowerDNS Recursor 3.6.1 and
earlier can be made to provide bad service
<http://doc.powerdns.com/md/security/powerdns-advisory-2014-02/>
パッチバージョンの入手先
PowerDNS Recursor 3.6.2
<https://downloads.powerdns.com/releases/pdns-recursor-3.6.2.tar.bz2>
旧バージョンに対するパッチファイル
<https://downloads.powerdns.com/patches/2014-02/>
▼連絡先
本文書に関するお問い合わせは <dnstech-info@jprs.jp> までご連絡ください。
---------------------------------------------------------------------
▼更新履歴
2014/12/09 11:00 初版作成
2014/12/25 17:00 米国The CERT Divisionの注意喚起・Vendor Information
へのリンクを追加
株式会社日本レジストリサービス Copyright©2001-2024 Japan Registry Services Co., Ltd.