ニュース
「BIND 9」にTSIG認証回避の脆弱性2件、最新バージョンへの更新を
2017年6月30日 14:19
Internet Systems Consortium(ISC)が開発・提供するDNSソフト「BIND 9」において、namedに対する外部からの攻撃が可能となる2件の脆弱性があったとして、株式会社日本レジストリサービス(JPRS)が30日、注意喚起を出した。最新バージョンへの更新が推奨されている。
2件の脆弱性は、いずれもTSIGの取り扱いの不具合により、認証が回避されてゾーンデータが流出する可能性があるもの。namedにおいてデフォルトでは無効のTSIGによるアクセス制限を有効にしており、TSIG以外の制限が設定されていなかった場合のみに影響を受ける。対象となるバージョンは2件とも「9.11.0」~「9.11.1-P1」「9.10.0~9.10.5-P1」「9.9.0」~「9.9.10-P1」「9.4.0」~「9.8.8」。
TSIGは、DNSの通信(トランザクション)に共有鍵を用いた署名を付加し、通信の安全性を高めるための仕組みとして、RFC 2845で定義されている。これにより、ゾーン転送、DNS NOTIFY、Dynamic Updateなどで、通信相手を認証し、通信路におけるデータの改ざんを検知できる。
脆弱性「CVE-2017-3143」は、あるゾーンの特定のサービスにTSIGによるアクセス制限を設定しており、有効なTSIG鍵の名前が既知であった場合、制限対象サービスから認証を回避できるもの。悪意を持つ第三者がリモートからDynamic Updateを経由して、ゾーンの内容を操作可能になる。
ゾーンの内容が操作されると、偽サイトへの誘導や、メールの盗難など、さまざまな行為に悪用される可能性があるという。深刻度は“High”で、共通脆弱性評価システムCVSS v3のスコアは7.5。
脆弱性「CVE-2017-3142」は、同様に有効なTSIG鍵の名前が既知であった場合、特別に作成されたリクエストパケットにより、ゾーン転送およびDNS NOTIFYのTSIG認証を回避できるもの。第三者により、許可されていない受信者に対するゾーン転送(AXFR)の提供や、不正なDNS NOTIFYパケットの受け付けが可能となる。
不正なDNS NOTIFYパケットを受け付けた場合には、ゾーン情報の更新サイクルが、提供者の想定よりも高頻度に実行される可能性もあるという。深刻度は“Medium”。共通脆弱性評価システムCVSS v3のスコアは5.3。
JPRSでは、2つの脆弱性に共通する一時的な回避策として、IPアドレスレンジの検証とTSIG認証の双方を要求するアクセスコントロールリスト(ACL)を設定することを挙げている。