---------------------------------------------------------------------
■(緊急)BIND 9.7.xの脆弱性を利用したサービス不能(DoS)攻撃について
- 9.7.3へのバージョンアップを強く推奨 -
2011/02/23(Wed)
---------------------------------------------------------------------
▼概要
BIND 9.7.1から9.7.2-P3までのバージョンには実装上の不具合があり、ゾー
ン情報の更新に差分転送(IXFR)またはDynamic Update機能を使用している
場合、namedに対するリモートからのサービス不能(DoS)攻撃が可能になる
脆弱性が存在することが、開発元のISCより発表されました。本脆弱性は危
険度が高いため、該当する状況でBIND 9を利用しているユーザは、関連情報
の収集やバージョンアップ等、適切な対応を取ることを強く推奨します。
▼詳細
IXFRおよびDynamic Updateは、いずれも権威DNSサーバーが管理するゾーン
情報を更新する機能です。IXFRは、プライマリ/セカンダリ間の差分ゾーン
転送に用いられるもので、RFC 1995で定義されています。Dynamic Updateは、
クライアントからの依頼により権威DNSサーバーが管理するゾーン情報を動
的に更新するための機能で、RFC 2136で定義されています。
BIND 9.7.1から9.7.2-P3までのバージョンでは実装上の不具合により、
IXFRを利用した差分ゾーン転送またはDynamic Updateを利用したゾーン情報
の更新を実施中、特定のタイミングでDNS問い合わせを受信した場合に
named内部でデッドロックが発生し、それ以降のnamedのすべての処理が停止
する問題が発生します。
このため、ゾーン情報の更新にIXFRまたはDynamic Updateを使用し、かつ高
頻度のDNS問い合わせを受け付ける権威DNSサーバーや、頻繁にゾーン情報の
更新を行っている権威DNSサーバーでは、デッドロックが発生する可能性が
高まります。開発元であるISCは、本脆弱性の深刻度(Severity)を「高
(High)」と評価しています。
なお、従来のゾーン転送(AXFR)は、本脆弱性の影響を受けません。
本脆弱性の詳細については以下の脆弱性情報(*1)をご参照ください。
(*1)CVE - CVE-2011-0414
<https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0414>
US-CERT Vulnerability Note VU#559980
<https://www.kb.cert.org/vuls/id/559980>
▼一時的な回避策
マルチスレッド機能を無効にしてBIND 9を再構築する、または実行時オプショ
ン「-n 1」を指定してワーカースレッド数を1個に設定することにより、本
脆弱性を一時的に回避することができます。しかし、マルチスレッド機能を
無効にした場合、DNSサーバーの性能が低下することに注意してください。
▼解決策
BIND 9.7.3へのアップグレード、または各ディストリビューションベンダか
らリリースされたパッチの適用を実施してください。
▼参考リンク
以下に、BIND 9の開発元であるISCから発表されている情報へのリンクを記
載します。また、各ディストリビューションベンダからの情報やUS-CERTの
情報(*1)等もご確認の上、適切な対応をお願いいたします。
* ISC
Server Lockup Upon IXFR or DDNS Update Combined with High Query Rate
<https://www.isc.org/software/bind/advisories/cve-2011-0414>
BIND 9.7.3
<http://ftp.isc.org/isc/bind9/9.7.3/bind-9.7.3.tar.gz>
▼追記
JPRSでは今回、本脆弱性に関する試験と分析を実施し、開発元であるISCに
その結果を報告しています。
---------------------------------------------------------------------
▼更新履歴
2011-02-23 10:30 初版作成
株式会社日本レジストリサービス Copyright©2001-2024 Japan Registry Services Co., Ltd.