ネームサーバ管理者の方々へ
一般社団法人日本ネットワークインフォメーションセンター
"複数の"DNS実装におけるサービス不能(DoS)脆弱性について(2014年12月)
2014年12月8日(現地時間)、 複数のDNSサーバソフトウェアの実装においてサービス不能(DoS)を引き起こす可能性のある脆弱性が、 各ベンダーからアナウンスされました。
本脆弱性は、DNSキャッシュサーバが、 名前解決時の委任を処理する際に細工されたゾーンの委任情報を受け取ることで、 CPUやネットワーク資源を大量に消費してサービス性能の低下もしくはサービス停止となるものです。
ご参考までに、アナウンスの原文へのリンクを以下に掲載します。 管理者の皆様におかれましては、 ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。
記
脆弱性の概要
DNSはドメインの情報を複数のゾーンに分割し、 委任と呼ばれる方法でゾーンとゾーンを連携させています。 キャッシュサーバは名前解決を行うときに、 その委任をたどることでドメイン名の情報を得ます。
この委任の処理において、 権威サーバから得られる「次に問い合わせるゾーンについての情報(referral)」の処理が正しく制限されていないDNS実装があり、 そのような実装のキャッシュサーバは、 権威サーバから細工された情報を受け取った場合、 メモリやCPU資源を大量消費する、 もしくは問い合わせパケット数が増大するといった事象が発生します。
影響を受けるバージョン
| BIND |
9.0.x ~ 9.8.x 9.9.0 ~ 9.9.6 9.10.0 ~ 9.10.1 |
| Unbound | 1.5.0 およびそれ以前 |
| PowerDNS | 3.6.1 およびそれ以前 |
脆弱性情報とDNSサーバソフトウェア開発元のアナウンス
- CVE-2014-8500: A Defect in Delegation Handling Can Be Exploited to Crash BIND
- BIND 9 Security Vulnerability Matrix
- (Unbound) The CVE number for this vulnerability is CVE-2014-8602
- PowerDNS Security Advisory 2014-02: PowerDNS Recursor 3.6.1 and earlier can be made to provide bad service
解決策
修正済みのバージョンに更新する (設定変更等での回避策はないとされています)
修正されたバージョン
| BIND | 9.9.6-P1, 9.10.1-P1 |
| Unbound | 1.5.1 |
| PowerDNS | 3.6.2 |
補足説明
CVE
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8500
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8601
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8602
JPRS
JPCERT/CC
以上
