DNS関連技術情報のトップへ戻る

---------------------------------------------------------------------
■BIND 9.8.0のResponse Policy Zones(RPZ)機能の脆弱性を利用した
  サービス不能(DoS)攻撃について - パッチの適用を強く推奨 -

                                株式会社日本レジストリサービス(JPRS)
                                                    2011/05/09(Mon)
---------------------------------------------------------------------

▼概要

  BIND 9.8.0には実装上の不具合があり、Response Policy Zones(RPZ)の機
  能を有効にし、かつ当該機能によるDNS応答の取り替え(RRset replacement)
  機能を使用している場合、namedに対するリモートからのサービス不能(DoS)
  攻撃が可能になる脆弱性が存在することが、開発元のISCより発表されまし
  た。本脆弱性は危険度が高いため、該当する状況でBIND 9.8.0を利用してい
  るユーザーは、関連情報の収集やパッチの適用など、適切な対応を取ること
  を強く推奨します。

▼詳細

  RPZはBIND 9.8.0から正式導入され、キャッシュDNSサーバーがクライアント
  に返す応答内容を、当該キャッシュDNSサーバーの運用者のポリシーにより
  制御可能にする機能を提供します。RPZの技術的詳細につきましては、ISCが
  公開している以下のドキュメント(*1)などをご参照ください。

  (*1)DNS Response Policy Zones (DNS RPZ)
        <http://ftp.isc.org/isc/dnsrpz/isc-tn-2010-1.txt>
        Response Policy Zones for the (not just) Domain Name System (DNS RPZ)
        <https://www.isc.org/files/imce/2010-11-DNSRPZ.pdf>

  BIND 9.8.0では実装上の不具合により、RPZの機能を有効にし、かつ当該機
  能によるDNS応答の取り替え(RRset replacement)機能を使用している場合、
  RPZを適用した名前に対するRRSIGレコードの問い合わせを送信することによ
  り、DNSサーバーnamedをリモートから停止させることが可能となります。な
  お、開発元であるISCは、本脆弱性の深刻度(Severity)を「高(High)」
  と評価しています。

  なお、RPZ機能を使用していない、あるいはRPZ機能を「その名前は存在しな
  い(Name Error = NXDOMAIN)」エラーを返す用途以外に使用していない場
  合、本脆弱性の影響を受けません。また、RPZ機能が実装されていないBIND
  9.7.x以前のバージョンについても、本脆弱性の影響を受けません。

  本脆弱性の詳細については下記URI(*2)において公開予定の脆弱性情報も
  併せてご参照ください。

  (*2)<https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1907>

▼一時的な回避策

  RPZ機能を「その名前は存在しない」エラーを返す用途以外に使用しないよ
  うに設定変更することにより、本脆弱性を一時的に回避できます。

▼解決策

  BIND 9.8.0-P1への更新、または各ディストリビューションベンダなどから
  リリースされるパッチの適用を実施してください。

▼参考リンク

  以下に、BIND 9の開発元であるISCから発表されている情報へのリンクを記
  載します。また、各ディストリビューションベンダからの情報やCVEの情報
  (*2)等もご確認の上、適切な対応をお願いいたします。

  * ISC

    RRSIG Queries Can Trigger Server Crash When Using Response Policy Zones 
    <https://www.isc.org/software/bind/advisories/cve-2011-1907>

    BIND 9.8.0-P1
    <http://ftp.isc.org/isc/bind9/9.8.0-P1/bind-9.8.0-P1.tar.gz>

---------------------------------------------------------------------
▼更新履歴
  2011-05-09 10:00 初版作成


株式会社日本レジストリサービス Copyright©2001-2016 Japan Registry Services Co., Ltd.