2013年1月25日
ネームサーバ管理者の方々へ
社団法人日本ネットワークインフォメーションセンター
ISC BIND 9に関する脆弱性について(2013年1月)
2013年1月24日(現地時間)、 BIND9の複数のバージョンに存在する脆弱性の情報がISC (Internet Systems Consortium)から公開されました。
RPZ(Response Policy Zones)およびDNS64を同時に使用している場合、 クエリの処理中にassertion failureによって停止することがあるという脆弱性です。
この問題について、ISCは、 RPZの書き換え機能とDNS64を同時に使用することは非常にまれであると予想されること、 また、回避策が容易にとれることから、正式なリリース版への修正を行わず、 ベータ版のみを提供することにしています。
ご参考までに、アナウンスの原文へのリンクを以下に掲載します。 管理者の皆様におかれましては、 ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。
記
ISCによって公開された脆弱性情報
脆弱性のサマリー
DNS64を用いて、 RPZにAレコードの書き換えルールがあるAAAAレコードを検索するときにエラーが発生する場合があります。 もしRPZによってAAAAレコードを提供せず、 書き換えたAレコードを提供する場合、 DNS64機能はAレコードをAAAAにマッピングしようとします。 実装上の誤りから、 このRPZデータベースとDNS64のマッピング機能の相互作用においてnamedプロセスがassertion failureで停止します。
影響のあるバージョン
- 9.8.0 ~ 9.8.4-P1
- 9.9.0 ~ 9.9.2-P1
回避策
DNS64およびRPZ機能を同時に使用している場合、 RPZにあるAレコードのすべての書き換えルールについて、 AAAAレコードの書き換えルールも含むようにします。
もしRPZによるAAAAの回答がDNS64の対象とならない場合、 この脆弱性は影響ありません。(NXDOMAINやCNAME等を生成するのみなど)
修正されたバージョン
将来のバージョンで修正予定
(2013年1月24日時点ではベータ版をリリース)
ISC
CVE
以上
