ニュース
「BIND 9」にDoS脆弱性、全バージョンのキャッシュDNSサーバーが対象
9月28日、10月21日に続き、1カ月強で3つ目
2016年11月2日 15:31
Internet Systems Consortium(ISC)が開発・提供するDNSソフト「BIND 9」において、サービス運用妨害(DoS)攻撃に悪用可能な脆弱性(CVE-2016-8864)があったとして、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)や株式会社日本レジストリサービス(JPRS)、一般社団法人日本ネットワークインフォメーションセンター(JPNIC)が2日、注意喚起を出した。修正済みバージョンへの更新または各ディストリビューションベンダーからリリースされる更新を速やかに実施することを推奨している。
CVE-2016-8864は、DNS応答の処理における不具合により、DNAMEレコードがanswer secionに含まれる応答を処理する際に、namedが異常終了するもの。これによりDNSサービスが停止する可能性がある。攻撃はリモートからも実行可能で、ISCでは脆弱性の深刻度を「高(High)」と評価している。共通脆弱性評価システムCVSS v3による脆弱性評価は7.5ポイント。
脆弱性によるnamedの異常終了時には、エラーが発生したソースコードの箇所により、下記のエラーメッセージがログに出力される。
・resolver.cの場合
"INSIST((valoptions & 0x0002U) != 0) failed"
・db.cの場合
"REQUIRE(targetp != ((void *)0) && *targetp == ((void *)0)) failed"
脆弱性の影響を受けるのは、フルリゾルバー(キャッシュDNSサーバー)の機能が有効に設定されている下記のバージョン。すでにサポートが終了していて修正パッチがリリースされない9.8以前の系列を含む「9.0.0」以降すべてのバージョンが影響を受ける。
・9.11系列:9.11.0
・9.10系列:9.10.0~9.10.4-P3
・9.9系列:9.9.0~9.9.9-P3
・9.0系列~9.8系列:9.0.x~9.8.x
ISCによれば、権威DNSサーバーでの影響は微小(minimal)とされている。なお、脆弱性の一時的な回避策は存在しない。
BIND 9が含まれるLinuxディストリビューションを提供しているUbuntuとDebianでも、この脆弱性に関する情報を公開している。
BIND 9におけるサービス運用妨害(DoS)攻撃に悪用可能な脆弱性は、今回公表されたCVE-2016-8864とは別に、9月28日(CVE-2016-2776)と10月21日(CVE-2016-2848)にも発見されており、CVE-2016-2776については警察庁により攻撃活動が観測されている。