ニュース

「BIND 9」のRPZに脆弱性、namedが無限ループに陥る

Windows版インストーラーの権限昇格も

 Internet Systems Consortium(ISC)が開発・提供するDNSソフト「BIND 9」とそのインストーラーにおいて、namedに対する外部からの攻撃や権限昇格の脆弱性があったとして、株式会社日本レジストリサービス(JPRS)が15日、注意喚起を出した。最新バージョンへの更新が推奨されている。

 BIND 9の脆弱性「CVE-2017-3140」は、デフォルトでは無効に設定されている「RPZ(Response Policy Zones)」を有効にしている場合のみ影響を受けるもの。NSDNAMEまたはNSIPのポリシールールが使われている環境で、受信したDNSクエリが、このポリシールールで処理される場合に、内部処理の不具合により、namedが無限ループの状態に陥るという。

 無限ループに陥ったnamedは、特定の権威DNSサーバーにパケットを送り続けるため、サービス性能を劣化させられてしまう。影響を受けるバージョンは「9.9.10」「9.10.5」「9.11.0」~「9.11.1」。ISCでは深刻度を“中(Medium)”と評価している。共通脆弱性評価システムCVSS v3のスコアは3.7。RPZにおいて、NSDNAMEとNSIPのポリシールールを使用しないことで、脆弱性の影響を回避できる。

 RPZは、フルリゾルバー(キャッシュDNSサーバー)がクライアントに返す応答内容を、運用者のポリシーにより制御可能にする機能を提供するもので、バージョン9.8.0以降でサポートされている。

 脆弱性「CVE-2017-3141」は、BIND 9のWindows版インストーラーにおけるもので、Windows版以外では影響がない。使用するプログラムパスが引用符で囲まれていないことで、所定のファイルを作成可能なローカルユーザーによる権限昇格攻撃が可能になる。JPRSによれば、この脆弱性を悪用した攻撃は、ローカルユーザーのみ可能とのこと。また、ファイルシステムのアクセス権限設定により、ローカルユーザーがnamed.exeに替わる実行ファイルを作成できないようにすることで、脆弱性の影響を回避できる。

 影響を受けるバージョンは「9.9.0」~「9.9.10」、「9.10.0」~「9.10.5」、「9.11.0」~「9.11.1」。サポートを終了している「9.4.0」~「9.8.8」、「9.3.2-P1」~「9.3.6」、「9.2.6-P2」~「9.2.9」も影響を受ける。ISCでは深刻度を“重大(Critical)”と評価している。共通脆弱性評価システムCVSS v3のスコアは7.2。

「BIND 9.11.x」のLMDBでの不具合は、次期バージョンで修正予定

 また、BINDのバージョン「9.11.x」における「LMDB(Lightning Memory-mapped Database)」の不具合についても公表されている。

 9.11.xでは、新形式のゾーンデータベース「NZD(New Zone Database)」の処理をLMDBに対応させることで、ゾーンの動的な追加や削除の高速化が図られており、LMDBがインストールされている環境でBINDがコンパイルされた場合、デフォルトでnamedへの組み込みが有効となっている。

 LMDBが組み込まれたBIND 9.11.xにおいて、「allow-new-zones yes;」オプションを設定している場合に、namedの再起動やゾーンのリロード・再設定を行うと、新しいゾーンが保持されない、ゾーンを削除した後にnamedの再起動やゾーンの再追加を行うと異常が発生する、といった不具合が発生する可能性があるという。影響を受けるバージョンは、「9.11.0」~「9.11.1-Px」。

 この不具合についてISCでは、7~8月にリリース予定のバージョン「9.11.2」で修正予定としており、当面はLMDBの組み込みを無効にすることが推奨されている。LMDBがインストールされている環境では、BIND 9.11.xのコンパイル時に、configureのオプションで「--without-lmdb」を指定すれば、namedへのLMDBの組み込みを無効にできる。