BIND 9における複数の脆弱性について(2019年4月)

2019年4月24日(現地時間)、複数のバージョンのBIND 9に存在する脆弱性の情報がISC (Internet Systems Consortium)から公開されました。

脆弱性の一つ目は、クライアントからのTCP同時接続数の制限が正しく動作せず、システム資源の一つであるファイル記述子(file descriptor)を消費させられるというものです。

脆弱性の二つ目は、nxdomain-redirect機能を有効にしている場合、例外によってBINDが停止することがあるというものです。

ご参考までに、アナウンスの原文へのリンクを以下に掲載します。管理者の皆さまにおかれましては、ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。

記

CVE-2018-5743: クライアントのTCP同時接続数の制限が無効になる

概要	BINDには、TCP接続のクライアント数を制限するという機能があります。制限する数はパラメータで設定することもできますが、設定していなくてもほとんどのサーバで問題の無い数に制限されます。しかし、TCP接続数の制限を行うプログラムコードに誤りがあり、本脆弱性は制限された数以上に接続できてしまうというものです。攻撃者はこの脆弱性を利用することによってnamedが利用できるファイル記述子(file descriptor)を消費させ、ネットワーク接続やログファイル、ジャーナルファイルなどの操作に影響を与えることができます。 namedをOSのファイル記述子数の制限を受けないように設定していた場合、システム全体のファイル記述子をすべて消費してしまう可能性があります。
影響を受けるバージョン	9.9.0 ～ 9.10.8-P1 9.11.0 ～ 9.11.6 9.12.0 ～ 9.12.4 9.13.0 ～ 9.13.7 9.14.0 9.9.3-S1 ～ 9.11.5-S3, 9.11.5-S5 9.9.0以前のバージョンは影響を受けるかどうか評価されていません。
回避策	ISCからは公表されていません。
修正されたバージョンとダウンロードページ	9.11.6-P1 9.12.4-P1 9.14.1 9.11.5-S6 9.11.6-S1 https://www.isc.org/downloads/

概要	nxdomain-redirect機能は、NXDOMAIN応答となる問い合わせに対して、サポートサイトや広告サイトへ誘導するなど別の応答を回答する機能です。 nxdomain-redirectで用いる別の名前空間が自身で提供する子孫のゾーンに含まれる場合、 nxdomain-redirect機能の不具合により例外が発生する場合があります。攻撃者は、脆弱性の発生する設定のあるサーバに対して問い合わせを行うことによりBINDを終了させることができます。
影響を受けるバージョン	9.12.0 ～ 9.12.4 9.13 系列 9.14.0
回避策	nxdomain-redirect 機能を無効にする
修正されたバージョンとダウンロードページ	9.12.4-P1 9.14.1 https://www.isc.org/downloads/

CVE-2018-5743: Limiting simultaneous TCP clients is ineffective: https://kb.isc.org/docs/cve-2018-5743
CVE-2019-6467: An error in the nxdomain redirect feature can cause BIND to exit with an INSIST assertion failure in query.c: https://kb.isc.org/docs/cve-2019-6467

(緊急)BIND 9.xの脆弱性（ファイル記述子の過度な消費）について (CVE-2018-5743) - フルリゾルバー(キャッシュDNSサーバー)／権威DNSサーバーの双方が対象、バージョンアップを強く推奨 -: https://jprs.jp/tech/security/2019-04-25-bind9-vuln-tcp-clients.html
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2019-6467) - nxdomain-redirect機能を有効にしている場合のみ対象、バージョンアップを推奨 -: https://jprs.jp/tech/security/2019-04-25-bind9-vuln-nxdomain-redirect.html