---------------------------------------------------------------------
■BIND 9.8.0のResponse Policy Zones(RPZ)機能の脆弱性を利用した
サービス不能(DoS)攻撃について - パッチの適用を強く推奨 -
株式会社日本レジストリサービス(JPRS)
2011/05/09(Mon)
---------------------------------------------------------------------
▼概要
BIND 9.8.0には実装上の不具合があり、Response Policy Zones(RPZ)の機
能を有効にし、かつ当該機能によるDNS応答の取り替え(RRset replacement)
機能を使用している場合、namedに対するリモートからのサービス不能(DoS)
攻撃が可能になる脆弱性が存在することが、開発元のISCより発表されまし
た。本脆弱性は危険度が高いため、該当する状況でBIND 9.8.0を利用してい
るユーザーは、関連情報の収集やパッチの適用など、適切な対応を取ること
を強く推奨します。
▼詳細
RPZはBIND 9.8.0から正式導入され、キャッシュDNSサーバーがクライアント
に返す応答内容を、当該キャッシュDNSサーバーの運用者のポリシーにより
制御可能にする機能を提供します。RPZの技術的詳細につきましては、ISCが
公開している以下のドキュメント(*1)などをご参照ください。
(*1)DNS Response Policy Zones (DNS RPZ)
<http://ftp.isc.org/isc/dnsrpz/isc-tn-2010-1.txt>
Response Policy Zones for the (not just) Domain Name System (DNS RPZ)
<https://www.isc.org/files/imce/2010-11-DNSRPZ.pdf>
BIND 9.8.0では実装上の不具合により、RPZの機能を有効にし、かつ当該機
能によるDNS応答の取り替え(RRset replacement)機能を使用している場合、
RPZを適用した名前に対するRRSIGレコードの問い合わせを送信することによ
り、DNSサーバーnamedをリモートから停止させることが可能となります。な
お、開発元であるISCは、本脆弱性の深刻度(Severity)を「高(High)」
と評価しています。
なお、RPZ機能を使用していない、あるいはRPZ機能を「その名前は存在しな
い(Name Error = NXDOMAIN)」エラーを返す用途以外に使用していない場
合、本脆弱性の影響を受けません。また、RPZ機能が実装されていないBIND
9.7.x以前のバージョンについても、本脆弱性の影響を受けません。
本脆弱性の詳細については下記URI(*2)において公開予定の脆弱性情報も
併せてご参照ください。
(*2)<https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1907>
▼一時的な回避策
RPZ機能を「その名前は存在しない」エラーを返す用途以外に使用しないよ
うに設定変更することにより、本脆弱性を一時的に回避できます。
▼解決策
BIND 9.8.0-P1への更新、または各ディストリビューションベンダなどから
リリースされるパッチの適用を実施してください。
▼参考リンク
以下に、BIND 9の開発元であるISCから発表されている情報へのリンクを記
載します。また、各ディストリビューションベンダからの情報やCVEの情報
(*2)等もご確認の上、適切な対応をお願いいたします。
* ISC
RRSIG Queries Can Trigger Server Crash When Using Response Policy Zones
<https://www.isc.org/software/bind/advisories/cve-2011-1907>
BIND 9.8.0-P1
<http://ftp.isc.org/isc/bind9/9.8.0-P1/bind-9.8.0-P1.tar.gz>
---------------------------------------------------------------------
▼更新履歴
2011-05-09 10:00 初版作成
株式会社日本レジストリサービス Copyright©2001-2024 Japan Registry Services Co., Ltd.