DNS関連技術情報のトップへ戻る

---------------------------------------------------------------------
■BIND 9の脆弱性を利用したキャッシュポイズニング攻撃について(第3版)
  - パッチ適用を推奨 -
							2010/01/20(Thu)
					(※ 追加のパッチリリースを反映)
---------------------------------------------------------------------

▼概要

  BIND 9のDNSSEC検証機能の実装にリモートからのキャッシュポイズニング攻
  撃が可能になる脆弱性が発見され、開発元のISCより対応のためのパッチが
  リリースされました。該当するBIND 9を利用しているユーザは関連情報の収
  集やパッチの適用等、適切な対応を取ることを推奨します。

  (2010年1月20日追加)
  2010年1月19日付でISCよりBIND 9.6.1-P2以前のすべてのBIND 9を対象に、
  同脆弱性に関する注意喚起の更新、および脆弱性修正のための追加のパッチ
  がリリースされました。関係各位におかれましてはパッチの適用等、適切な
  対応を速やかに取ることを重ねて推奨します。

▼詳細

  BIND 9のDNSSEC検証機能の実装における脆弱性により、DO(DNSSEC OK)ビッ
  トとCD(Checking Disabled)ビットの双方がセットされた特殊なDNS問い合わ
  せパケットにより、当該のキャッシュDNSサーバ(named)にDNS反復検索をさ
  せた場合、その応答に対し従来から存在する手法である、本来受け取るべき
  ではない不適切なadditional sectionの情報を悪用した悪意のあるDNS応答
  パケットを用いた、キャッシュポイズニング攻撃が可能となります。

  ただし、本脆弱性の影響を受けるのは、DOビットとCDビットの双方がセット
  されたDNS問い合わせに対する応答のみであり、開発元のISCにおける「深刻
  度(Severity)」は「中(medium)」となっています。またISCでは「このよう
  な動作のDNSクライアント・スタブリゾルバは把握していないが、BIND以外
  の少なくとも一つのDNSサーバの実装においてDNSフォワード機能を使用した
  場合に、今回の脆弱性に該当する」としています。

  本脆弱性はDNSSEC検証機能が有効に設定されており、かつDNSキャッシュサー
  バ機能(再帰検索機能)が有効に設定されているすべてのBIND 9が該当します。
  なお、BIND 9.5以降のBINDではDNSSEC検証機能が標準で有効に設定されてお
  り、本脆弱性の対象となりますので、十分にご注意ください。

  本脆弱性の詳細についてはUS-CERTからの脆弱性情報(*1)をご参照ください。

  (*1)US-CERT Vulnerability Note VU#418861
      <http://www.kb.cert.org/vuls/id/418861>

  (2009年12月3日追加)
  2009年12月2日付でISCから、DNSSEC検証を有効にしているユーザを対象に、
  本脆弱性の深刻度をmediumからSEVERE(致命的)に引き上げるという、追加の
  アナウンスが発表されました。関係各位におかれましてはパッチの適用等、
  適切な対応を速やかに取ることを重ねて推奨します。

▼対策

  ISC、および各ディストリビューションベンダからリリースされたパッチを
  適用してください。

▼脆弱性の情報・パッチリリース

  以下にBIND 9の開発元であるISCから発表されているパッチ等の情報を記載
  します。また、各ディストリビューションベンダからの情報やUS-CERTの情
  報(*1)等もご確認の上、適切な対応をお願いいたします。
  
  * ISC

    BIND 9 Cache Update from Additional Section
    https://www.isc.org/advisories/CVE-2009-4022

    ISC BIND patch release
 
    - BIND 9.6.1-P3
     <http://ftp.isc.org/isc/bind9/9.6.1-P3/bind-9.6.1-P3.tar.gz>
    - BIND 9.5.2-P2
    <http://ftp.isc.org/isc/bind9/9.5.2-P2/bind-9.5.2-P2.tar.gz>
    - BIND 9.4.3-P5
    <http://ftp.isc.org/isc/bind9/9.4.3-P5/bind-9.4.3-P5.tar.gz>

---------------------------------------------------------------------
▼更新履歴
  2009-11-25 17:50 初版作成
  2009-12-03 18:00 脆弱性の詳細情報を更新
  2010-01-20 10:30 追加のパッチリリース情報を追加、
                   BIND 9の各バージョン情報を更新



株式会社日本レジストリサービス Copyright©2001-2016 Japan Registry Services Co., Ltd.