DNS実装のISC BINDにDoS攻撃を受ける脆弱性
吉澤亨史
2009-07-31 15:49:01
独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)および有限責任中間法人 JPCERT コーディネーションセンター(JPCERT/CC)は7月29日、Internet Systems Consortium(ISC)が提供するDNS実装「Berkeley Internet Name Domain(BIND)9」にDoS攻撃を受ける脆弱性が存在すると公表した。
BINDは、RFC 2136で規定されている「dynamic DNS updates」をサポートしている。これは、クライアントからの依頼により権威DNSサーバが管理するゾーン情報を動的に更新するための機能だ。BIND 9は、細工されたdynamic updateパケットを処理する際にDoS攻撃を受ける可能性がある。named.confにおいてプライマリサーバ(master)の設定をしている場合が該当するが、dynamic updateの設定をされていないサーバでもこの脆弱性の影響を受ける可能性があるという。
具体的には該当するnamedがDNSキャッシュサーバとして運用されている場合でも、ローカルゾーン、例えば0.0.127.in-addr.arpaやlocalhostなどに対してプライマリサーバとして設定されている場合には、この脆弱性の対象となる。ISCでは、この脆弱性を解消する最新版を公開しており、ユーザーに対して「9.4.3-P3」「9.5.1-P3」あるいは「9.6.1-P1」のパッチをあてるよう呼びかけている。