（緊急）BIND 9のDynamic Update機能の脆弱性を利用したDoS攻撃について

DNS関連技術情報のトップへ戻る
---------------------------------------------------------------------
■(緊急)BIND 9のDynamic Update機能の脆弱性を利用したDoS攻撃について
  - 緊急のパッチ適用を強く推奨 -
                                                      2009/07/29(Wed)
---------------------------------------------------------------------

▼概要

  BIND 9のDynamic Update機能にはリモートからのサービス不能(DoS)攻撃が
  可能になる脆弱性があり、開発元のISCより対応のためのパッチがリリース
  されました。本脆弱性は危険度が高いため、該当するBIND 9を利用している
  ユーザは、関連情報の収集や緊急パッチの適用等、適切な対応を速やかに取
  ることを強く推奨します。

▼詳細

  Dynamic UpdateはRFC 2136により定義される、クライアントからの依頼によ
  り権威DNSサーバが管理するゾーン情報を動的に更新するための機能です。

  本脆弱性は、BIND 9に実装されたDynamic Update機能に存在する脆弱性を利
  用し、特定のDynamic Updateパケットを作成、送信することで、DNSサーバ
  namedをリモートから停止させることが可能となる問題です。

  本脆弱性は、named.confにおいてプライマリサーバ(master)の設定をしてい
  る場合に該当します。また、Dynamic Update機能を有効に設定していない
  場合であっても本脆弱性の対象となりますので、注意が必要です。

  また、該当するnamedがDNSキャッシュサーバとして運用されている場合でも
  いわゆるローカルゾーン、例えば0.0.127.in-addr.arpaやlocalhost等に対
  しプライマリサーバとして設定されている場合には本脆弱性の対象となりま
  すので、十分にご注意ください。

  本脆弱性の詳細についてはUS-CERTからの脆弱性情報(*1)をご参照ください。

  (*1)US-CERT Vulnerability Note VU#725188
     <http://www.kb.cert.org/vuls/id/725188>

▼対策

  ISCおよび各ディストリビューションベンダからリリースされたパッチを、
  速やかに適用してください。

▼脆弱性の情報・パッチリリース

  以下にBIND 9の開発元であるISCから発表されているパッチ等の情報を記載
  します。また、各ディストリビューションベンダからの情報やUS-CERTの情
  報(*1)等もご確認の上、適切な対応をお願いいたします。

  * ISC

    BIND Dynamic Update DoS | Internet Systems Consortium
    <https://www.isc.org/node/474>


    ISC BIND patch release
 
    - BIND 9.6.1-P1
    http://ftp.isc.org/isc/bind9/9.6.1-P1/bind-9.6.1-P1.tar.gz
    - BIND 9.5.1-P3
    http://ftp.isc.org/isc/bind9/9.5.1-P3/bind-9.5.1-P3.tar.gz
    - BIND 9.4.3-P3
    http://ftp.isc.org/isc/bind9/9.4.3-P3/bind-9.4.3-P3.tar.gz

---------------------------------------------------------------------
▼更新履歴
  2009-07-29 17:35 初版作成