DNS関連技術情報のトップへ戻る

---------------------------------------------------------------------
■BIND 9.xの脆弱性(DNSサービスの停止)について(2015年2月19日公開)
  - DNSSEC検証を実施しているDNSサーバーのみ対象、バージョンアップを強く推奨 -

                                株式会社日本レジストリサービス(JPRS)
                                            初版作成 2015/02/19(Thu)
---------------------------------------------------------------------

▼概要

  BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービ
  ス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されました。
  本脆弱性により、提供者が意図しないサービスの停止が発生する可能性があ
  ります。

  該当するシステムを運用しているユーザーは、関連情報の収集やバージョン
  アップなど、適切な対応を速やかに取ることを強く推奨します。

▼詳細

▽本脆弱性の背景:トラストアンカーの役割と自動更新機能の概要

  DNSSEC検証における信頼の連鎖の起点としてバリデーター(*1)に設定され
  る情報を、トラストアンカー(trust anchor)といいます。トラストアンカー
  には通常、ルートゾーンの鍵署名鍵(KSK)またはそのハッシュが設定され
  ます。

  (*1)通常は、キャッシュDNSサーバーがバリデーターの役割を担当します。

  トラストアンカーとなっているゾーンの鍵署名鍵を更新(ロールオーバー)
  する場合、すべてのバリデーターに設定されたトラストアンカーを更新する
  必要があります。この作業を手動で実施した場合、作業漏れや作業時のミス
  によるDNSSEC検証エラーが発生する危険性があります。

  そうした状況を回避するため、トラストアンカーの更新を自動化するための
  仕様が、RFC 5011で定義されています(*2)。この機能を利用することで、
  バリデーターにおけるトラストアンカーの手動更新作業が不要になります。

  (*2)JPRSでRFC 5011の日本語訳を公開しています。
        DNSセキュリティ拡張(DNSSEC)におけるトラストアンカーの自動更新
        <http://jprs.jp/tech/material/rfc/RFC5011-ja.txt>

▽本脆弱性の概要

  BIND 9.xにはトラストアンカーの自動更新の例外処理の実装に不具合があり、
  以下の二つの条件の双方に該当する状況が発生した場合、namedが異常終了、
  あるいは異常動作を起こす障害が発生します(*3)。

  (*3)開発元のISCでは9.9.6~9.9.6-P1、9.10.1~9.10.1-P1では異常終了、
        それ以前の該当バージョンでは異常動作、あるいは異常終了を起こす
        可能性があるとしています。

  1)DNSSEC検証が有効に設定され、かつトラストアンカーの自動更新機能が
     有効に設定されている

     具体的にはnamedの設定ファイル(named.conf)において、以下のいずれ
     かが設定されている

      - managed-keys ステートメントでトラストアンカーが設定されている
      - dnssec-validation auto; あるいは dnssec-lookaside auto; が
        指定されている

  2)かつ、トラストアンカーの自動更新処理において、以下の状況が発生する

      - 以前は信頼されていたが、現在は無効にされた鍵が存在する
      - かつ、他に信頼された鍵が存在しない
      - かつ、スタンバイ鍵が存在するが、まだ信頼された状態ではない

  上記 2)の状況は、以下の二つの状況で発生し得ます。

  ・トラストアンカーとして指定されたゾーンの鍵署名鍵が、不適切な方法で
    ロールオーバーされた場合(例:ルートゾーンにおける鍵のロールオーバー
    の失敗)

  ・攻撃対象のnamedが動作するDNSサーバーのネットワークを、攻撃者が不正
    に操作することが可能であった場合(*4)

  後者の状況では、攻撃者がリモートから攻撃を成立させることができます。
  なお、開発元のISCでは、この方法による攻撃成立を確認していると発表し
  ています。

  (*4)例えば、経路ハイジャックを実施するなど。

▽対象となるバージョン

  本脆弱性は、トラストアンカーの自動更新の機能を持つ、BIND 9.7以降のす
  べてのバージョンのBIND 9が該当します。

  ・9.10系列:9.10.0~9.10.0-P1
  ・9.9系列:9.9.0~9.9.6-P1
  ・9.8系列:すべてのバージョン
  ・9.7系列:すべてのバージョン

  なお、ISCでは9.8以前の系列のBIND 9のサポートを終了しており、これらの
  バージョンに対するセキュリティパッチはリリースしないと発表しています。

▽影響範囲

  ISCは、本脆弱性の深刻度(Severity)を「高(High)」と評価しています。

  本脆弱性は、当該のnamedにおいてDNSSEC検証が有効に設定され、かつトラ
  ストアンカーの自動更新機能が有効に設定されている場合、具体的には設定
  ファイル(named.conf)において、以下のいずれかが設定されている場合に
  のみ対象となります(*5)。

      - managed-keys ステートメントでトラストアンカーが設定されている
      - dnssec-validation auto; あるいは dnssec-lookaside auto; が
        指定されている

  (*5)いずれも設定されていない場合、本脆弱性の対象となりません。

  本脆弱性については、以下の脆弱性情報(*6)も併せてご参照ください。

  (*6)CVE - CVE-2015-1349
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1349>

▼一時的な回避策

  トラストアンカーの自動更新機能を無効に設定することで、本脆弱性の影
  響を回避できます。

▼解決策

  本脆弱性を修正したパッチバージョン(BIND 9.10.1-P2/9.9.6-P2)への更
  新、あるいは各ディストリビューションベンダーからリリースされる更新の
  適用を、速やかに実施してください。

▼参考リンク

  以下に、ISCから発表されている情報へのリンクを記載します。また、各ディ
  ストリビューションベンダーからの情報や前述のCVEの情報なども確認の上、
  適切な対応をとることを強く推奨します。

  - ISC

   セキュリティアドバイザリ

    CVE-2015-1349: A Problem with Trust Anchor Management Can Cause named to Crash
    <https://kb.isc.org/article/AA-01235>

   パッチバージョンの入手先
    BIND 9.10.1-P2
    <http://ftp.isc.org/isc/bind9/9.10.1-P2/bind-9.10.1-P2.tar.gz>
    BIND 9.9.6-P2
    <http://ftp.isc.org/isc/bind9/9.9.6-P2/bind-9.9.6-P2.tar.gz>

▼連絡先

  本文書に関するお問い合わせは <dnstech-info@jprs.jp> までご連絡ください。

---------------------------------------------------------------------
▼更新履歴
  2015/02/19 11:00 初版作成


株式会社日本レジストリサービス Copyright©2001-2016 Japan Registry Services Co., Ltd.