メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway

よく検索されるキーワード

IPv6 DNS HTTP WHOIS BGP IPv4 ドメイン名とは IPアドレス FQDN インターネット
ロゴ:JPNIC
WHOIS検索 サイト内検索

よく検索されるキーワード

ネームサーバ管理者の方々へ

一般社団法人日本ネットワークインフォメーションセンター

BIND 9におけるTSIG認証に絡んだ複数の脆弱性について(2017年6月)

2017年6月29日(現地時間)、 BIND 9の複数のバージョンに存在する脆弱性の情報がISC (Internet Systems Consortium)から公開されました。

これらの脆弱性は、 TSIG (Transaction Signature)のアクセス制限の不具合により許可されていないゾーン転送やdynamic updateを受け入れてしまうという脆弱性で、 権威サーバに影響があります。

ご参考までに、アナウンスの原文へのリンクを以下に掲載します。 管理者の皆さまにおかれましては、 ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。

CVE-2017-3143: TSIG認証の誤りによって認証されてないゾーン転送が許可される

概要 権威サーバへDNSメッセージを送受信可能で、 かつ正当なTSIG鍵の名前を知っている攻撃者は、 細工したパケットを送ることでAXFR要求のTSIG認証を迂回することができます。 アクセスコントロールリスト(ACL)をTSIG鍵のみに設定されているサーバは、 以下の操作が行われる可能性があります。
  • 認証されていない受信者に対してAXFRによるゾーン転送を許可してしまう
    • その結果、攻撃者はゾーンの内容をすべて閲覧することが可能です。
  • 偽のNOTIFYパケットを受け付けてしまう
    • 攻撃者はゾーン転送のリフレッシュ間隔を短縮させることが可能です。
影響を受けるバージョン 9.4.0 ~ 9.8.8
9.9.0 ~ 9.9.10-P1
9.10.0 ~ 9.10.5-P1
9.11.0 ~ 9.11.1-P1
9.9.3-S1 ~ 9.9.10-S2
9.10.5-S1 ~ 9.10.5-S2
回避策 ACLをTSIGのみによる制限だけではなく、 IPアドレスによる制限を行うことで回避が可能です。 (ただし、 許可されたIPアドレス内から攻撃者が偽のNOTIFYパケットを送信可能な場合は回避できません)
解決策 修正済みのバージョンに更新する。
修正されたバージョン 9.9.10-P2
9.10.5-P2
9.11.1-P2
9.9.10-S3
9.10.5-S3

CVE-2017-3143: TSIG認証の誤りによって認証されてないdynamic updateが許可される

概要 権威サーバへDNSメッセージを送受信可能で、 かつ正当なTSIG鍵の名前を知っている攻撃者は、細工したパケットを送ることで、 BINDに対し認証されていないdynamic updateを受け付けるよう操作することが可能です。 攻撃者はこの脆弱性を利用することで、 ACLをTSIG鍵のみに設定されているサーバに対してゾーンの内容を自由に書き換えることが可能です。
影響を受けるバージョン 9.4.0 ~ 9.8.8
9.9.0 ~ 9.9.10-P1
9.10.0 ~ 9.10.5-P1
9.11.0 ~ 9.11.1-P1
9.9.3-S1 ~ 9.9.10-S2
9.10.5-S1 ~ 9.10.5-S2
回避策 ACLをTSIGのみによる制限だけではなく、 IPアドレスによる制限を行うことで回避が可能です。
また、named.confのオプションを "update-policy local;" としている場合、 動作の詳細確認とそれによるリスクの影響を評価する必要があります。 (デフォルトでは有効になっていません)
解決策 修正済みのバージョンに更新する。
修正されたバージョン 9.9.10-P2
9.10.5-P2
9.11.1-P2
9.9.10-S3
9.10.5-S3

ISCからのアナウンス

CVE-2017-3142: An error in TSIG authentication can permit unauthorized zone transfers
https://kb.isc.org/article/AA-01504/74/CVE-2017-3142%3A-An-error-in-TSIG-authentication-can-permit-unauthorized-zone-transfers.html
CVE-2017-3143: An error in TSIG authentication can permit unauthorized dynamic updates
https://kb.isc.org/article/AA-01503/74/CVE-2017-3143%3A-An-error-in-TSIG-authentication-can-permit-unauthorized-dynamic-updates.html

参考

CVE

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3142
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3143

JPRS

BIND 9.xの脆弱性(TSIG認証の迂回によるゾーンデータの流出)について(CVE-2017-3142) - バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2017-06-30-bind9-vuln-circumvent-tsig-auth-axfr.html
(緊急)BIND 9.xの脆弱性(TSIG認証の迂回によるゾーンデータの操作)について(CVE-2017-3143) - バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2017-06-30-bind9-vuln-circumvent-tsig-auth-dynamic-update.html

JPCERT

ISC BIND 9の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170024.html

以上

このページを評価してください

このWebページは役に立ちましたか?
よろしければ回答の理由をご記入ください

それ以外にも、ページの改良点等がございましたら自由にご記入ください。

回答が必要な場合は、お問い合わせ先をご利用ください。

メールマガジン(JPNIC News & Views)登録

パスワードが記載された確認メールが発送されます。 確認メールが届かない場合は、 ご入力いただいたメールアドレスが
誤っていた可能性がありますので、 再度ご登録手続きを行ってください。

ロゴ:JPNIC

Copyright© 1996-2024 Japan Network Information Center. All Rights Reserved.