ISC BIND 9に関する脆弱性について(2014年1月)

2014年1月13日(現地時間)、 BIND9の複数のバージョンに存在する脆弱性の情報がISC (Internet Systems Consortium)から公開されました。

本脆弱性は、 DNSSECにおいてNSEC3署名されたゾーンを提供する権威サーバについて、細工されたクエリを受け取った権威サーバがクラッシュするものです。 ISCによる深刻度は「高(High)」とされており、この問題について、現在、ISCから修正版が公開されています。

ご参考までに、アナウンスの原文へのリンクおよびJPRSによるアナウンスを以下に掲載します。管理者の皆様におかれましては、ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。

記

ISCによって公開された脆弱性情報

NSEC3で署名されたゾーンに対するクエリの処理に問題があり、 name.c 内で"INSIST"エラーにより BINDがクラッシュします。この欠陥を利用し、意図的に構成したクエリをNSEC3で署名されたゾーンを提供する権威サーバに対してクエリを送信することで、サービス拒否攻撃が可能になります。

NSEC3で署名されたゾーンを一つでも提供する権威サーバに問題が発生します。再帰検索のみのサーバは危険性はありません。 NSEC3で署名されたゾーンを提供しない権威サーバには危険性はありません。

開発版である 9.6-ESV-R11b1, 9.8.7b1, 9.9.5b1 も影響があります。

なお、9.7.x にも本脆弱性が存在しますが、すでに"end of life"となっており、修正の対象になっていません。

参考：BIND 9の各バージョンごとの脆弱性対象を整理したページ"BIND 9 Security Vulnerability Matrix"

修正済みのバージョンに更新する。

以上