DNS関連技術情報のトップへ戻る

---------------------------------------------------------------------
■(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2022-3080)
  - バージョンアップを強く推奨 -

                                株式会社日本レジストリサービス(JPRS)
                                            初版作成 2022/09/22(Thu)
---------------------------------------------------------------------
▼概要

  BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービ
  ス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されました。
  本脆弱性により、提供者が意図しないDNSサービスの停止が発生する可能性
  があります。

  該当するBIND 9のパッケージを利用しているユーザーは、各ディストリビュー
  ションベンダーからリリースされる情報の収集やバージョンアップなど、適
  切な対応を速やかに取ることを強く推奨します。

  本脆弱性はnamedの設定ファイル(通常はnamed.conf)で
  stale-answer-client-timeoutオプションに0を指定している場合のみ対象と
  なります。

▼詳細

▽本脆弱性の概要

  serve-staleは、DDoS攻撃や事故などによって権威DNSサーバーに到達できな
  くなった場合に、フルリゾルバーが期限切れのキャッシュを使って名前解決
  を継続可能にするための機能です。

  BIND 9.xにはserve-staleの実装に不具合があり、namedの設定ファイル(通
  常はnamed.conf)において、stale-answer-client-timeoutオプションが0に
  設定されており、かつクライアントから受け取った問い合わせに対応する
  キャッシュに期限切れのCNAMEレコードが含まれていた場合、問い合わせを
  受け取ったnamedが異常終了する可能性があります。

  そのため、外部の攻撃者がこの状況を発生させることができた場合、当該サー
  バーのDNSサービスを停止させることが可能になります。

▽対象となるバージョン

  本脆弱性は、以下のバージョンのBIND 9が該当します。

  ・9.18系列:9.18.0-9.18.6
  ・9.16系列:9.16.14-9.16.32

  なお、ISCではサポートを終了した系列のセキュリティパッチはリリースし
  ないと発表しています。

▽影響範囲

  ISCは、本脆弱性の深刻度(Severity)を「高(High)」と評価しています。

  本脆弱性は、namedの設定ファイル(通常はnamed.conf)において、
  stale-answer-client-timeoutオプションに0を設定している場合のみ対象と
  なります。

  本脆弱性については、以下の脆弱性情報[*1]も併せてご参照ください。

  [*1] CVE - CVE-2022-3080
       <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3080>

▼一時的な回避策

  namedの設定ファイル(通常はnamed.conf)において、
  stale-answer-client-timeoutオプションにoff(デフォルト)または0より
  大きな値を設定することで、本脆弱性を回避できます。

▼解決策

  本脆弱性を修正したパッチバージョン(BIND 9.18.7/9.16.33)への更新、
  あるいは、各ディストリビューションベンダーからリリースされる更新の適
  用を、速やかに実施してください。

▼参考リンク

  以下に、ISCから発表されている情報へのリンクを記載します。また、各ディ
  ストリビューションベンダーからの情報や前述のCVEの情報なども確認の上、
  適切な対応を取ることを強く推奨します。

  - ISC

   セキュリティアドバイザリ

    CVE-2022-3080: BIND 9 resolvers configured to answer from stale
                   cache with zero stale-answer-client-timeout may
                   terminate unexpectedly
    <https://kb.isc.org/docs/cve-2022-3080>

   パッチバージョンの入手先

    BIND 9.18.7
    <https://ftp.isc.org/isc/bind9/9.18.7/bind-9.18.7.tar.xz>

    BIND 9.16.33
    <https://ftp.isc.org/isc/bind9/9.16.33/bind-9.16.33.tar.xz>

▼連絡先

  本文書に関するお問い合わせは <dnstech-info@jprs.co.jp> までご連絡くだ
  さい。

---------------------------------------------------------------------
▼更新履歴
  2022/09/22 10:00 初版作成


株式会社日本レジストリサービス Copyright©2001-2022 Japan Registry Services Co., Ltd.