BINDにおけるDNSSEC検証を有効にしたキャッシュサーバの脆弱性について(2015年7月)

2015年7月7日(現地時間)、 BIND9の複数のバージョンに存在する脆弱性の情報がISC (Internet Systems Consortium)から公開されました。

この脆弱性は、DNSSECの検証を有効にしたBINDにおいて、細工されたゾーンデータを検証する際に、 BINDが停止するというものです。

ご参考までに、アナウンスの原文へのリンクを以下に掲載します。管理者の皆様におかれましては、ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。

記

脆弱性の概要

問い合わせの回答についてDNSSEC検証する際に、BINDの不具合により、特殊なゾーンデータの処理中にnamedが例外によって終了することが発見されました。

これはDNSSEC検証を有効にしたリゾルバ(キャッシュサーバ)に対して、攻撃者が細工したゾーンについて問い合わせを行わせさせることで、キャッシュサーバを停止させることができるものです。これにより当該キャッシュサーバを利用するユーザに対してサービス停止攻撃が可能となります。

BIND	9.7.1 - 9.7.7 9.8.0 - 9.8.8 9.9.0 - 9.9.7 9.10.0 - 9.10.2-P1

DNSSEC検証を無効にすることにより脆弱性を回避できますが、推奨されません。修正されたバージョンへの更新が推奨されます。

修正済みのバージョンに更新する。

BIND	9.9.7-P1 9.10.2-P2

以上