---------------------------------------------------------------------
■BIND 9.xの脆弱性(DNSサービスの停止)について(2015年2月19日公開)
- DNSSEC検証を実施しているDNSサーバーのみ対象、バージョンアップを強く推奨 -
株式会社日本レジストリサービス(JPRS)
初版作成 2015/02/19(Thu)
---------------------------------------------------------------------
▼概要
BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービ
ス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されました。
本脆弱性により、提供者が意図しないサービスの停止が発生する可能性があ
ります。
該当するシステムを運用しているユーザーは、関連情報の収集やバージョン
アップなど、適切な対応を速やかに取ることを強く推奨します。
▼詳細
▽本脆弱性の背景:トラストアンカーの役割と自動更新機能の概要
DNSSEC検証における信頼の連鎖の起点としてバリデーター(*1)に設定され
る情報を、トラストアンカー(trust anchor)といいます。トラストアンカー
には通常、ルートゾーンの鍵署名鍵(KSK)またはそのハッシュが設定され
ます。
(*1)通常は、キャッシュDNSサーバーがバリデーターの役割を担当します。
トラストアンカーとなっているゾーンの鍵署名鍵を更新(ロールオーバー)
する場合、すべてのバリデーターに設定されたトラストアンカーを更新する
必要があります。この作業を手動で実施した場合、作業漏れや作業時のミス
によるDNSSEC検証エラーが発生する危険性があります。
そうした状況を回避するため、トラストアンカーの更新を自動化するための
仕様が、RFC 5011で定義されています(*2)。この機能を利用することで、
バリデーターにおけるトラストアンカーの手動更新作業が不要になります。
(*2)JPRSでRFC 5011の日本語訳を公開しています。
DNSセキュリティ拡張(DNSSEC)におけるトラストアンカーの自動更新
<http://jprs.jp/tech/material/rfc/RFC5011-ja.txt>
▽本脆弱性の概要
BIND 9.xにはトラストアンカーの自動更新の例外処理の実装に不具合があり、
以下の二つの条件の双方に該当する状況が発生した場合、namedが異常終了、
あるいは異常動作を起こす障害が発生します(*3)。
(*3)開発元のISCでは9.9.6~9.9.6-P1、9.10.1~9.10.1-P1では異常終了、
それ以前の該当バージョンでは異常動作、あるいは異常終了を起こす
可能性があるとしています。
1)DNSSEC検証が有効に設定され、かつトラストアンカーの自動更新機能が
有効に設定されている
具体的にはnamedの設定ファイル(named.conf)において、以下のいずれ
かが設定されている
- managed-keys ステートメントでトラストアンカーが設定されている
- dnssec-validation auto; あるいは dnssec-lookaside auto; が
指定されている
2)かつ、トラストアンカーの自動更新処理において、以下の状況が発生する
- 以前は信頼されていたが、現在は無効にされた鍵が存在する
- かつ、他に信頼された鍵が存在しない
- かつ、スタンバイ鍵が存在するが、まだ信頼された状態ではない
上記 2)の状況は、以下の二つの状況で発生し得ます。
・トラストアンカーとして指定されたゾーンの鍵署名鍵が、不適切な方法で
ロールオーバーされた場合(例:ルートゾーンにおける鍵のロールオーバー
の失敗)
・攻撃対象のnamedが動作するDNSサーバーのネットワークを、攻撃者が不正
に操作することが可能であった場合(*4)
後者の状況では、攻撃者がリモートから攻撃を成立させることができます。
なお、開発元のISCでは、この方法による攻撃成立を確認していると発表し
ています。
(*4)例えば、経路ハイジャックを実施するなど。
▽対象となるバージョン
本脆弱性は、トラストアンカーの自動更新の機能を持つ、BIND 9.7以降のす
べてのバージョンのBIND 9が該当します。
・9.10系列:9.10.0~9.10.0-P1
・9.9系列:9.9.0~9.9.6-P1
・9.8系列:すべてのバージョン
・9.7系列:すべてのバージョン
なお、ISCでは9.8以前の系列のBIND 9のサポートを終了しており、これらの
バージョンに対するセキュリティパッチはリリースしないと発表しています。
▽影響範囲
ISCは、本脆弱性の深刻度(Severity)を「高(High)」と評価しています。
本脆弱性は、当該のnamedにおいてDNSSEC検証が有効に設定され、かつトラ
ストアンカーの自動更新機能が有効に設定されている場合、具体的には設定
ファイル(named.conf)において、以下のいずれかが設定されている場合に
のみ対象となります(*5)。
- managed-keys ステートメントでトラストアンカーが設定されている
- dnssec-validation auto; あるいは dnssec-lookaside auto; が
指定されている
(*5)いずれも設定されていない場合、本脆弱性の対象となりません。
本脆弱性については、以下の脆弱性情報(*6)も併せてご参照ください。
(*6)CVE - CVE-2015-1349
<https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1349>
▼一時的な回避策
トラストアンカーの自動更新機能を無効に設定することで、本脆弱性の影
響を回避できます。
▼解決策
本脆弱性を修正したパッチバージョン(BIND 9.10.1-P2/9.9.6-P2)への更
新、あるいは各ディストリビューションベンダーからリリースされる更新の
適用を、速やかに実施してください。
▼参考リンク
以下に、ISCから発表されている情報へのリンクを記載します。また、各ディ
ストリビューションベンダーからの情報や前述のCVEの情報なども確認の上、
適切な対応をとることを強く推奨します。
- ISC
セキュリティアドバイザリ
CVE-2015-1349: A Problem with Trust Anchor Management Can Cause named to Crash
<https://kb.isc.org/article/AA-01235>
パッチバージョンの入手先
BIND 9.10.1-P2
<http://ftp.isc.org/isc/bind9/9.10.1-P2/bind-9.10.1-P2.tar.gz>
BIND 9.9.6-P2
<http://ftp.isc.org/isc/bind9/9.9.6-P2/bind-9.9.6-P2.tar.gz>
▼連絡先
本文書に関するお問い合わせは <dnstech-info@jprs.jp> までご連絡ください。
---------------------------------------------------------------------
▼更新履歴
2015/02/19 11:00 初版作成
株式会社日本レジストリサービス Copyright©2001-2024 Japan Registry Services Co., Ltd.