DNS関連技術情報のトップへ戻る

---------------------------------------------------------------------
■PowerDNS Authoritative Server及びPowerDNS Recursorの脆弱性
  (DNSサービスの停止またはCPU負荷の急上昇)について(2015年7月8日更新)
  - バージョンアップを強く推奨 -

                                株式会社日本レジストリサービス(JPRS)
                                            初版作成 2015/04/27(Mon)
                                            最終更新 2015/07/08(Wed)
  (PowerDNS.COM BVのセキュリティアドバイザリ原文の内容更新を反映)
---------------------------------------------------------------------

▼概要

  PowerDNS Authoritative Server及びPowerDNS Recursorにおける実装上の不
  具合により、外部からのサービス不能(DoS)攻撃が可能となる脆弱性が、
  開発元のPowerDNS.COM BVから発表されました。本脆弱性により当該ソフト
  ウェアが動作するサーバーにおいて、提供者が意図しないサービスの停止ま
  たはCPU負荷の急上昇が発生する可能性があります。

  該当するシステムを運用しているユーザーは、関連情報の収集やバージョン
  アップなど、適切な対応を取ることを強く推奨します。

  (2015年5月7日追加)PowerDNS.COM BVが2015年5月1日(中央ヨーロッパ夏
  時間)にセキュリティアドバイザリを更新し、本脆弱性の対象を一部プラッ
  トフォームから全プラットフォームに拡大しています。ご注意ください。

  (2015年7月8日追加)PowerDNS.COM BVが2015年7月7日(中央ヨーロッパ夏
  時間)にセキュリティアドバイザリを更新し、2015年4月時点での対応が不
  十分であったため、追加のバージョンアップまたはパッチの適用が必要であ
  る旨を呼び掛けています。これに伴い、本文書の「解決策」のバージョン番
  号の記述を更新しておりますのでご注意ください。

▼詳細

  PowerDNSはオランダのPowerDNS.COM BVが開発している、DNSサーバーの実装
  の一つです。オープンソースで開発されており、無償で入手・使用できます。

  PowerDNSでは権威DNSサーバーとキャッシュDNSサーバーが別パッケージとなっ
  ており、それぞれPowerDNS Authoritative Server、及びPowerDNS Recursor
  として公開されています。

  本脆弱性の対象となるPowerDNS Authoritative Server及びPowerDNS
  Recursorにはドメイン名ラベルの圧縮を展開する処理に不具合があり、各ソ
  フトウェアにおいて特別に設定されたドメイン名に対する問い合わせを処理
  した際、サーバープログラムが異常終了を起こす、またはCPU負荷が急上昇
  する障害が発生します。

  本脆弱性により、DNSサービスの停止や過負荷による障害などが発生する可
  能性があります。また、本脆弱性を利用した攻撃はリモートから可能です。

▽対象となるバージョン

  本脆弱性は、以下のソフトウェアが対象となります。

  ・PowerDNS Authoritative Server 3.2以降
  ・PowerDNS Recursor 3.5以降

▽影響範囲

  PowerDNS.COM BVは、本脆弱性の深刻度(Severity)を「高(High)」と評
  価しています。

  (2015年5月7日追加)当初、同社では本脆弱性の影響を受けるプラットフォー
  ムは限定的であると発表していましたが、その後セキュリティアドバイザリ
  を更新し、影響範囲を全プラットフォームに拡大しています。

  なお、同社は本脆弱性によるシステムそのものの危殆(きたい)化は発生し
  ないと発表しています。

  影響範囲の詳細につきましては、参考リンクに掲載したPowerDNS.COM BVか
  ら公開されている情報をご参照ください。また、以下の脆弱性情報(*1)も
  併せてご参照ください。

  (*1)CVE - CVE-2015-1868
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1868>

▼影響軽減策

  PowerDNS.COM BVでは、設定ファイルにおけるallow-fromの設定によるアク
  セス制限を、本脆弱性の影響軽減策としています。

  (2015年5月7日追加)同社はセキュリティアドバイザリの内容を更新し、上
  記の影響軽減策はPowerDNS Recursorにおいてのみ有効であり、PowerDNS
  Authoritative Serverには一時的な影響軽減策は存在しない旨の記述を追加
  しています。

▼解決策

  (2015年7月8日更新)本脆弱性を修正したパッチバージョン(PowerDNS
  Authoritative Server 3.3.3または3.4.5及びPowerDNS Recursor 3.6.4また
  は3.7.3)への更新または公式パッチの適用、あるいは各ディストリビュー
  ションベンダーからリリースされる更新の適用を実施してください。

  ※当初発表されたPowerDNS Authoritative Server 3.3.2/3.4.4及び
    PowerDNS Recursor 3.6.3/3.7.2における対策は不十分であり、上記バー
    ジョンへの更新またはパッチの追加適用が必要である旨が発表されています。

▼参考リンク

  以下に、PowerDNS.COM BVから発表されている情報へのリンクを記載します。
  また、各ディストリビューションベンダーからの情報や前述のCVEの情報な
  ども確認の上、適切な対応を取ることを強く推奨します。

  - PowerDNS.COM BV

   セキュリティアドバイザリ(2015年7月7日更新)
    PowerDNS Security Advisory 2015-01: Label decompression bug can
     cause crashes on specific platforms
    <https://doc.powerdns.com/md/security/powerdns-advisory-2015-01/>

   公式ブログ(最初のアナウンス)
    Security Advisory 2015-01
    <http://blog.powerdns.com/2015/04/23/security-advisory-2015-01/>

   公式ブログ(セキュリティアドバイザリ更新のアナウンス)
    Important Update for Security Advisory 2015-01
    <http://blog.powerdns.com/2015/05/01/important-update-for-security-advisory-2015-01/>

   パッチバージョンの入手先
    PowerDNS Downloads
    <https://www.powerdns.com/downloads.html>

   公式パッチの入手先
    <https://downloads.powerdns.com/patches/2015-01/>

▼連絡先

  本文書に関するお問い合わせは <dnstech-info@jprs.jp> までご連絡ください。

---------------------------------------------------------------------
▼更新履歴
  2015/04/27 11:00 初版作成
  2015/05/07 11:00 PowerDNS.COM BVのセキュリティアドバイザリの更新を反映
  2015/07/08 11:00 PowerDNS.COM BVのセキュリティアドバイザリの更新を反映


株式会社日本レジストリサービス Copyright©2001-2016 Japan Registry Services Co., Ltd.