BIND 9.xの脆弱性（サービス提供者が意図しないアクセスの許可）について（CVE-2018-5738）

DNS関連技術情報のトップへ戻る
---------------------------------------------------------------------
■BIND 9.xの脆弱性（サービス提供者が意図しないアクセスの許可）について
  （CVE-2018-5738） - 設定の確認と適切な更新を強く推奨 -

                                株式会社日本レジストリサービス（JPRS）
                                            初版作成 2018/06/13（Wed）
---------------------------------------------------------------------

▼概要

  BIND 9.xにおける実装上の不具合により、namedに対する外部からの攻撃が
  可能となる脆弱性が、開発元のISCから発表されました。本脆弱性により、
  提供者が意図しない形で外部からのアクセスが許可され、DoS攻撃の踏み台
  にされたり、キャッシュを外部から覗かれることでドメイン名の利用状況や
  組織内のみで使っているドメイン名の情報が外部に漏えいしたりする可能性
  があります。

  該当するBIND 9.xを利用しているユーザーは、関連情報の収集や設定の確認
  と更新など、適切な対応を取ることを推奨します。

▼詳細

▽本脆弱性の概要

  現在のBIND 9.xでは、設定ファイル（通常はnamed.conf）において、

  ・recursion no; が設定されていない
  ・かつ、allow-recursion、allow-query、allow-query-cacheのいずれのア
    クセスコントロールリスト（以下、ACL）も設定されていない

  場合、DNSクライアントからの再帰的問い合わせ（*1）を受け付けるIPアド
  レスのデフォルト値が、localnetsとlocalhostに自動設定されます。

  （*1）DNSの再帰的問い合わせと非再帰的問い合わせにつきましては、
        JPRS用語辞典の以下の解説をご参照ください。
        JPRS用語辞典｜再帰的問い合わせ（recursive query）
        <https://jprs.jp/glossary/index.php?ID=0173>

  2017年10月にISCにおいて導入された「#4777」の変更を含むBIND 9.xには
  ACLのデフォルト設定の取り扱いに不具合があり、前述した条件においてすべ
  てのIPアドレスからの再帰的問い合わせが許可された状態、つまり、オープ
  ンリゾルバーの状態となります。

  結果として、当該サーバーが外部からのDNSリフレクター攻撃の踏み台とし
  て悪用されたり、キャッシュを外部から覗かれることでドメイン名の利用状
  況や組織内のみで使っているドメイン名の情報が外部に漏えいしたりする可
  能性があります。

▽対象となるバージョン

  本脆弱性は、以下のバージョンのBIND 9が該当します。

  ・9.12系列：9.12.0～9.12.1-P2
  ・9.11系列：9.11.3
  ・9.10系列：9.10.7
  ・9.9系列：9.9.12

▽影響範囲

  ISCは、本脆弱性の深刻度（Severity）を「中（Medium）」と評価していま
  す。

  本脆弱性は、named.confにおいてrecursion no; が設定されておらず、かつ、
  allow-recursion、allow-query、allow-query-cacheのいずれのACLも設定さ
  れていない場合にのみ対象となり、いずれかのACLが設定されている場合、
  設定内容がそのまま反映されます。

  本脆弱性については、以下の脆弱性情報（*2）も併せてご参照ください。

  （*2）CVE - CVE-2018-5738
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5738>

▼回避策

  named.confにおいてallow-recursion、allow-query、allow-query-cacheの
  ACLを適切に設定することで、本脆弱性を回避できます。

  なお、ACLの具体的な設定方法につきましては、BINDに付属のマニュアル、
  各ディストリビューションベンダーから提供される情報などをご参照くださ
  い。

▼解決策

  ISCは、本脆弱性を今後リリース予定のBIND 9.12.2/9.11.4/9.10.8/9.9.13
  で修正する旨を発表しており、先行パッチは <security-officer@isc.org> 
  へのリクエストにより入手可能である旨を発表しています。

▼参考リンク

  以下に、ISCから発表されている情報へのリンクを記載します。また、各ディ
  ストリビューションベンダーからの情報や前述のCVEの情報なども確認の上、
  適切な対応を取ることを強く推奨します。

  - ISC

   セキュリティアドバイザリ

    CVE-2018-5738: Some versions of BIND can improperly permit
                   recursive query service to unauthorized clients
    <https://kb.isc.org/article/AA-01616>

▼連絡先

  本文書に関するお問い合わせは <dnstech-info@jprs.co.jp> までご連絡くだ
  さい。

---------------------------------------------------------------------
▼更新履歴
  2018/06/13 11:00 初版作成