メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索

ネームサーバ管理者の方々へ

一般社団法人日本ネットワークインフォメーションセンター

ISC BIND 9に関する脆弱性について(2014年1月)

2014年1月13日(現地時間)、 BIND9の複数のバージョンに存在する脆弱性の情報がISC (Internet Systems Consortium)から公開されました。

本脆弱性は、 DNSSECにおいてNSEC3署名されたゾーンを提供する権威サーバについて、 細工されたクエリを受け取った権威サーバがクラッシュするものです。 ISCによる深刻度は「高(High)」とされており、 この問題について、現在、ISCから修正版が公開されています。

ご参考までに、 アナウンスの原文へのリンクおよびJPRSによるアナウンスを以下に掲載します。 管理者の皆様におかれましては、 ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。

ISCによって公開された脆弱性情報

脆弱性の概要

NSEC3で署名されたゾーンに対するクエリの処理に問題があり、 name.c 内で"INSIST"エラーにより BINDがクラッシュします。 この欠陥を利用し、 意図的に構成したクエリをNSEC3で署名されたゾーンを提供する権威サーバに対してクエリを送信することで、 サービス拒否攻撃が可能になります。

影響範囲

NSEC3で署名されたゾーンを一つでも提供する権威サーバに問題が発生します。 再帰検索のみのサーバは危険性はありません。 NSEC3で署名されたゾーンを提供しない権威サーバには危険性はありません。

影響のあるバージョン

  • 9.6.0.x ~ 9.6-ESV-R10-P1
  • 9.7 (すべてのバージョン)
  • 9.8.0 ~ 9.8.6-P1
  • 9.9.0 ~ 9.9.4-P1

開発版である 9.6-ESV-R11b1, 9.8.7b1, 9.9.5b1 も影響があります。

なお、9.7.x にも本脆弱性が存在しますが、 すでに"end of life"となっており、修正の対象になっていません。

参考:BIND 9の各バージョンごとの脆弱性対象を整理したページ"BIND 9 Security Vulnerability Matrix"

解決策

修正済みのバージョンに更新する。

修正されたバージョン

  • 9.6-ESV-R10-P2
  • 9.8.6-P2
  • 9.9.4-P2

ダウンロードページ
https://www.isc.org/downloads/

FAQと補足情報

以上

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2020 Japan Network Information Center. All Rights Reserved.