DNS関連技術情報のトップへ戻る

---------------------------------------------------------------------
■PowerDNS Authoritative Server及びPowerDNS Recursorの脆弱性について
  (CVE-2016-7068、CVE-2016-7072、CVE-2016-7073、CVE-2016-7074、
    CVE-2016-2120)
  - バージョンアップを推奨 -

                                株式会社日本レジストリサービス(JPRS)
                                            初版作成 2017/01/17(Tue)
---------------------------------------------------------------------

▼概要

  PowerDNS Authoritative Server及びPowerDNS Recursorの実装上の不具合に
  より、外部からの攻撃が可能となる複数の脆弱性が、開発元の
  PowerDNS.COM BVから発表されました。

  該当するPowerDNS Authoritative Server/PowerDNS Recursorを利用してい
  るユーザーは関連情報の収集やバージョンアップなど、適切な対応を速やか
  に取ることを推奨します。

▼詳細

▽本脆弱性の概要

  PowerDNSはオランダのPowerDNS.COM BVが開発している、DNSサーバーの実装
  の一つです。オープンソースで開発されており、無償で入手・使用できます。

  PowerDNSでは権威DNSサーバーとフルリゾルバー(キャッシュDNSサーバー)
  が別パッケージとなっており、それぞれPowerDNS Authoritative Server、及
  びPowerDNS Recursorとして公開されています。

  2017年1月13日に、PowerDNS.COM BVから以下の4件のセキュリティアドバイザ
  リが公開されました。

  ・PowerDNS Security Advisory 2016-02(CVE-2016-7068)
    細工されたDNSクエリを送りつけることでCPU負荷を急上昇させ、システム
    を過負荷にすることによりサービス不能(DoS)攻撃が可能になる。

  ・PowerDNS Security Advisory 2016-03(CVE-2016-7072)
    Web経由でサーバーをモニターする機能を有効にしている場合、サーバーに
    対し多数のTCP接続を開くことでファイル記述子を枯渇させ、サーバプログ
    ラムを異常終了させることが可能になる。

  ・PowerDNS Security Advisory 2016-04(CVE-2016-7073、CVE-2016-7074)
    TSIGの検証が不十分であるため、中間者攻撃が可能になる。

  ・PowerDNS Security Advisory 2016-05(CVE-2016-2120)
    細工されたリソースレコードをゾーン内に設定し、そのレコードに対する
    DNSクエリを送りつけることで、サーバープログラムを異常終了させること
    が可能になる。

▽対象となるバージョン

  開発元のPowerDNS.COM BVからの情報によると、PowerDNSの各バージョンに
  おける、それぞれの脆弱性の影響は以下の通りです(Yesが影響あり)。

  +-----------------------------------------------------------+
  |                   | 2016-02 | 2016-03 | 2016-04 | 2016-05 |
  | ---               | ---     | ---     | ---     | ---     |
  | Recursor 3.6      | Yes     |         |         |         |
  | Recursor 3.7      | Yes     |         |         |         |
  | Recursor 4.0      | Yes     |         | Yes     |         |
  | Authoritative 3.3 | Yes     | Yes     | Yes     | Yes     |
  | Authoritative 3.4 | Yes     | Yes     | Yes     | Yes     |
  | Authoritative 4.0 | Yes     | Yes     | Yes     | Yes     |
  +-----------------------------------------------------------+

▽影響範囲

  PowerDNS.COM BVは、各脆弱性の深刻度(Severity)を「中(Medium)」と評
  価しています。なお、同社は本脆弱性によるシステムそのものの危殆(きた
  い)化は発生しないと発表しています。

  影響範囲の詳細については、参考リンクに掲載したPowerDNS.COM BVから公開
  されている情報をご参照ください。また、以下の脆弱性情報(*1)(*2)
  (*3)(*4)(*5)も併せてご参照ください。

  (*1)CVE - CVE-2016-7068
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-7068>

  (*2)CVE - CVE-2016-7072
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-7072>

  (*3)CVE - CVE-2016-7073
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-7073>

  (*4)CVE - CVE-2016-7074
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-7074>

  (*5)CVE - CVE-2016-2120
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2120>

▼一時的な回避策

  PowerDNS.COM BVでは、以下の対応を各脆弱性の一時的な回避策としています。

  ・PowerDNS Security Advisory 2016-02(CVE-2016-7068)
    dnsdistを用いて、細工されたクエリをブロックする。

  ・PowerDNS Security Advisory 2016-03(CVE-2016-7072)
    Webサーバーを無効にする、もしくはファイアウォールでWebサーバーへの
    アクセスを制限する。

▼解決策

  本脆弱性を修正したパッチバージョンPowerDNS Authoritative Server
  4.0.2及び3.4.11、PowerDNS Recursor 4.0.4及び3.7.4への更新、あるいは各
  ディストリビューションベンダーからリリースされる更新の適用を、速やか
  に実施してください。

▼参考リンク

  以下に、PowerDNS.COM BVから発表されている情報へのリンクを記載します。
  また、各ディストリビューションベンダーからの情報や前述のCVEの情報な
  ども確認の上、適切な対応を取ることを推奨します。

  - PowerDNS.COM BV

   セキュリティアドバイザリ

    PowerDNS Security Advisory 2016-02: Crafted queries can cause
    abnormal CPU usage
    <https://doc.powerdns.com/md/security/powerdns-advisory-2016-02/>

    PowerDNS Security Advisory 2016-03: Denial of service via the web
    server
    <https://doc.powerdns.com/md/security/powerdns-advisory-2016-03/>

    PowerDNS Security Advisory 2016-04: Insufficient validation of
    TSIG signatures
    <https://doc.powerdns.com/md/security/powerdns-advisory-2016-04/>

    PowerDNS Security Advisory 2016-05: Crafted zone record can cause
    a denial of service
    <https://doc.powerdns.com/md/security/powerdns-advisory-2016-05/>

   oss-securityメーリングリストへのアナウンス

    oss-security - PowerDNS Security Advisories 2016-02, 2016-03,
    2016-04 and 2016-05
    <http://www.openwall.com/lists/oss-security/2017/01/15/2>

   パッチバージョンの入手先

    PowerDNS Downloads
    <https://www.powerdns.com/downloads.html>

   公式パッチの入手先

    <https://downloads.powerdns.com/patches/2016-02/>
    <https://downloads.powerdns.com/patches/2016-03/>
    <https://downloads.powerdns.com/patches/2016-04/>
    <https://downloads.powerdns.com/patches/2016-05/>

▼連絡先

  本文書に関するお問い合わせは <dnstech-info@jprs.jp> までご連絡ください。

---------------------------------------------------------------------
▼更新履歴
  2017/01/17 11:00 初版作成


株式会社日本レジストリサービス Copyright©2001-2017 Japan Registry Services Co., Ltd.