「BIND 9」にDoSの脆弱性、DNSSEC検証要求の大量受信などでnamedが異常終了


 DNSサーバーソフト「BIND 9」にDoS攻撃が可能な脆弱性が見つかったことを受け、株式会社日本レジストリサービス(JPRS)が25日、同ソフトのサーバー運用者に対し、情報収集や修正パッチの適用など速やかな対応をとるよう注意喚起した。同ソフトの開発元であるISC(Internet Systems Consortium)からは、脆弱性を解決する最新バージョンがリリースされている。

 脆弱性は2つある。まず、キャッシュDNSサーバーにおいてDNSSEC検証機能を有効にしている状態で、大量のDNSSEC検証要求を受け取った際に、「named」が異常終了する場合があるというもの。

 対象となるバージョンは、9.6-ESV~9.6-ESV-R7-P1、9.7.1~9.7.6-P1、9.8.0~9.8.3-P1、9.9.0~9.9.1-P1。解決策は、9.6-ESV-R7-P2、9.7.6-P2、9.8.3-P2、9.9.1-P2へそれぞれアップデートすること、またはディストリビューションベンダー各社からリリースされるパッチを適用すること。

 このほか、9.4/9.5系列もこの脆弱性の対象だが、ISCではすでにサポートを終了しており、セキュリティパッチはリリースしないという。

 もう1つの脆弱性は、大量のTCPクエリを受信した際にメモリリークが発生するという実装上の不具合により、namedに対するDoS攻撃が可能になるというもの。こちらは、キャッシュDNSサーバーと権威DNSサーバーのいずれもが対象で、DNSSEC検証機能を無効にしている場合も対象となる。

 影響を受けるバージョンは9.9.0~9.9.1-P1。解決策は、9.9.1-P2へのアップデートまたはディストリビューションベンダー各社からリリースされるパッチの適用となっている。


関連情報


(永沢 茂)

2012/7/25 15:13