DNS関連技術情報のトップへ戻る

---------------------------------------------------------------------
■BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-2775)
  - lightweight resolverプロトコルを有効にしている場合のみ対象、
    バージョンアップを推奨 -

                                株式会社日本レジストリサービス(JPRS)
                                            初版作成 2016/07/19(Tue)
---------------------------------------------------------------------

▼概要

  BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービ
  ス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されました。
  本脆弱性により、提供者が意図しないサービスの停止が発生する可能性があ
  ります。

  本脆弱性は、namedにおいてlightweight resolverプロトコルを有効にして
  いる場合のみ対象となります(デフォルトでは無効)。該当する設定で
  BIND 9.xを利用しているユーザーは関連情報の収集やバージョンアップなど、
  適切な対応を取ることを推奨します。

▼詳細

▽本脆弱性の概要

  lightweight resolverは、BIND 9.xに実装されている名前解決の機能です。
  通常のDNSプロトコルとは異なるプロトコルであり、デフォルトで待ち受け
  るポート番号も異なっています(*1)。

  (*1)named/lwresdでは、デフォルトで921/udpで待ち受けます。

  BIND 9.xにはlightweight resolverの問い合わせの処理に不具合があり、特
  別に作成された問い合わせにより無限ループが発生し、named/lwresdが
  segmentation faultエラーで異常終了する障害が発生します。

  本脆弱性により、DNSサービスの停止が発生する可能性があります。なお、
  lightweight resolverプロトコルを有効にしており、かつリモートからの同
  プロトコルによる問い合わせを受け付けている場合にのみ、本脆弱性を利用
  したリモートからの攻撃が可能になります。

▽対象となるバージョン

  本脆弱性は、これまでにリリースされたすべてのバージョンのBIND 9が該当
  します。

  ・9.10系列:9.10.0~9.10.4-P1
  ・上記以外の系列:9.0.x~9.9.9-P1

  なお、ISCでは9.8以前の系列のBIND 9のサポートを終了しており、これらの
  バージョンに対するセキュリティパッチはリリースしないと発表しています。

▽影響範囲

  ISCは、本脆弱性の深刻度(Severity)を「中(Medium)」と評価しています。

  本脆弱性は、namedにおいてlightweight resolverプロトコルを有効にして
  いる場合、具体的には以下のいずれかの条件に該当する場合にのみ、影響を
  受けます。

  ・lwresdとして、namedが起動されている(*2)
  ・named.confにおいて、"lwres"ステートメントが明示的に指定されている

  (*2)lwresdは通常、namedにリンクされる形でインストールされます。

  本脆弱性については、以下の脆弱性情報(*3)も併せてご参照ください。

  (*3)CVE - CVE-2016-2775
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2775>

▼一時的な回避策

  本脆弱性の一時的な回避策は存在しません。

▼解決策

  本脆弱性を修正したパッチバージョン(BIND 9.10.4-P2/9.9.9-P2)への更
  新、あるいは各ディストリビューションベンダーからリリースされる更新を
  適用してください。

▼参考リンク

  以下に、ISCから発表されている情報へのリンクを記載します。

  - ISC

   セキュリティアドバイザリ

    CVE-2016-2775: A query name which is too long can cause a
                   segmentation fault in lwresd
    <https://kb.isc.org/article/AA-01393/>

   パッチバージョンの入手先

    BIND 9.10.4-P2
    <https://ftp.isc.org/isc/bind9/9.10.4-P2/bind-9.10.4-P2.tar.gz>
    BIND 9.9.9-P2
    <https://ftp.isc.org/isc/bind9/9.9.9-P2/bind-9.9.9-P2.tar.gz>

▼連絡先

  本文書に関するお問い合わせは <dnstech-info@jprs.jp> までご連絡ください。

---------------------------------------------------------------------
▼更新履歴
  2016/07/19 11:00 初版作成

株式会社日本レジストリサービス Copyright©2001-2017 Japan Registry Services Co., Ltd.