DNS関連技術情報のトップへ戻る

---------------------------------------------------------------------
■(緊急)BIND 9.7.xの脆弱性を利用したサービス不能(DoS)攻撃について
  - 9.7.3へのバージョンアップを強く推奨 -
                                                    2011/02/23(Wed)
---------------------------------------------------------------------

▼概要

  BIND 9.7.1から9.7.2-P3までのバージョンには実装上の不具合があり、ゾー
  ン情報の更新に差分転送(IXFR)またはDynamic Update機能を使用している
  場合、namedに対するリモートからのサービス不能(DoS)攻撃が可能になる
  脆弱性が存在することが、開発元のISCより発表されました。本脆弱性は危
  険度が高いため、該当する状況でBIND 9を利用しているユーザは、関連情報
  の収集やバージョンアップ等、適切な対応を取ることを強く推奨します。

▼詳細

  IXFRおよびDynamic Updateは、いずれも権威DNSサーバーが管理するゾーン
  情報を更新する機能です。IXFRは、プライマリ/セカンダリ間の差分ゾーン
  転送に用いられるもので、RFC 1995で定義されています。Dynamic Updateは、
  クライアントからの依頼により権威DNSサーバーが管理するゾーン情報を動
  的に更新するための機能で、RFC 2136で定義されています。

  BIND 9.7.1から9.7.2-P3までのバージョンでは実装上の不具合により、
  IXFRを利用した差分ゾーン転送またはDynamic Updateを利用したゾーン情報
  の更新を実施中、特定のタイミングでDNS問い合わせを受信した場合に
  named内部でデッドロックが発生し、それ以降のnamedのすべての処理が停止
  する問題が発生します。

  このため、ゾーン情報の更新にIXFRまたはDynamic Updateを使用し、かつ高
  頻度のDNS問い合わせを受け付ける権威DNSサーバーや、頻繁にゾーン情報の
  更新を行っている権威DNSサーバーでは、デッドロックが発生する可能性が
  高まります。開発元であるISCは、本脆弱性の深刻度(Severity)を「高
  (High)」と評価しています。

  なお、従来のゾーン転送(AXFR)は、本脆弱性の影響を受けません。

  本脆弱性の詳細については以下の脆弱性情報(*1)をご参照ください。

  (*1)CVE - CVE-2011-0414
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0414>
        US-CERT Vulnerability Note VU#559980
        <https://www.kb.cert.org/vuls/id/559980>

▼一時的な回避策

  マルチスレッド機能を無効にしてBIND 9を再構築する、または実行時オプショ
  ン「-n 1」を指定してワーカースレッド数を1個に設定することにより、本
  脆弱性を一時的に回避することができます。しかし、マルチスレッド機能を
  無効にした場合、DNSサーバーの性能が低下することに注意してください。

▼解決策

  BIND 9.7.3へのアップグレード、または各ディストリビューションベンダか
  らリリースされたパッチの適用を実施してください。

▼参考リンク

  以下に、BIND 9の開発元であるISCから発表されている情報へのリンクを記
  載します。また、各ディストリビューションベンダからの情報やUS-CERTの
  情報(*1)等もご確認の上、適切な対応をお願いいたします。

  * ISC

    Server Lockup Upon IXFR or DDNS Update Combined with High Query Rate
    <https://www.isc.org/software/bind/advisories/cve-2011-0414>

    BIND 9.7.3
    <http://ftp.isc.org/isc/bind9/9.7.3/bind-9.7.3.tar.gz>

▼追記

  JPRSでは今回、本脆弱性に関する試験と分析を実施し、開発元であるISCに
  その結果を報告しています。

---------------------------------------------------------------------
▼更新履歴
  2011-02-23 10:30 初版作成


株式会社日本レジストリサービス Copyright©2001-2016 Japan Registry Services Co., Ltd.