---------------------------------------------------------------------
■(緊急)BIND 9.7.1/9.7.1-P1におけるRRSIGレコード処理の不具合について
  - ルートゾーンのトラストアンカー設定の前に、必ず9.7.1-P2への更新を -
                                                      2010/07/16(Fri)
---------------------------------------------------------------------

▼概要

  BIND 9.7.1及び9.7.1-P1のRRSIGレコードの処理には不具合があり、DNSSEC
  の信頼の連鎖が構築された任意のゾーンの権威DNSサーバに対し、namedを利
  用した遠隔からのDoS攻撃が可能となる脆弱性があることが、開発元のISCよ
  り報告されました。同時に本脆弱性を解決したバージョンである、BIND
  9.7.1-P2が緊急公開されています。

  2010年7月15日(協定世界時)より、ルートゾーンにおけるDNSSECの正式運用
  が開始され、これを契機にキャッシュDNSサーバにおいて、ルートゾーンの
  トラストアンカーを設定しDNSSECによる名前検証機能を有効にする運用が
  増加していくと見込まれます。

  しかし、BIND 9.7.1及び9.7.1-P1において現状のままでルートゾーンのトラ
  ストアンカーを設定した場合、該当のキャッシュDNSサーバを利用すること
  により、ルートゾーンからの信頼の連鎖が構築された任意のゾーンの権威
  DNSサーバに対するDoS攻撃が可能となるため、該当サーバにおいてルートゾー
  ンのトラストアンカーを設定する前に、必ずBIND 9.7.1-P2への更新を実施
  する必要があります。

▼詳細

  RRSIGレコードはDNSSECにおいて、それぞれのリソースレコードに対する署
  名情報を格納するために使用されます。通常のDNS運用ではRRSIGレコード自
  身が単独で検索されることはなく、AレコードやPTRレコードなどといった従
  来からのリソースレコードの検索の際に、該当レコードに対する署名情報と
  して応答に付加されます。


  しかし、RRSIGレコード自身も通常のDNSレコードの一種であることから、
  キャッシュDNSサーバを経由した、通常の名前検索が可能となっています。

  今回報告された不具合は、BIND 9.7.1及び9.7.1-P1においてnamedをキャッ
  シュDNSサーバとして動作させ、かつトラストアンカーを設定してDNSSECに
  よる名前検証機能を有効にした場合、そのトラストアンカーからの信頼の連
  鎖が構築された、すなわちDNSSECが有効に設定された任意のドメイン名に対
  するRRSIGレコード自身の検索要求をnamedが受信した際、namedの実装上の
  不具合により反復検索が無限ループの状態に陥り、該当するRRSIGレコード
  を保持している権威DNSサーバに対するRRSIGレコードの検索要求が発信され
  続ける、というものです。

  そのため、本脆弱性を利用することにより、DNSSECが有効に設定された任意
  のドメイン名の権威DNSサーバに対し、遠隔からのDoS攻撃が可能となります。

▼対策

  キャッシュDNSサーバとしてトラストアンカーを設定してDNSSECを有効にす
  る場合、BIND 9.7.1および9.7.1-P1は使用せず、BIND 9.7.1-P2への更新を
  事前に実施したうえで有効にしてください。

▼脆弱性情報・パッチリリース

  以下にBIND 9の開発元であるISCから発表されている脆弱性情報と、緊急パッ
  チリリースの情報を掲載します。

    RRSIG query handling bug in BIND 9.7.1 | Internet Systems Consortium
    https://www.isc.org/software/bind/advisories/cve-2010-0213

    BIND 9.7.1-P2
    http://ftp.isc.org/isc/bind9/9.7.1-P2/bind-9.7.1-P2.tar.gz

---------------------------------------------------------------------
▼更新履歴
  2010-07-16 09:30 初版作成