メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索

ネームサーバ管理者の方々へ

一般社団法人日本ネットワークインフォメーションセンター

BINDにおけるトラストアンカーの取り扱いの不具合による脆弱性について(2015年2月)

2015年2月18日(現地時間)、 BIND9の複数のバージョンに存在する脆弱性の情報がISC (Internet Systems Consortium)から公開されました。

この脆弱性は、DNSSECのバリデーションを有効にしたBINDにおいて、 ある複数の条件を満たした場合、BINDがクラッシュするというものです。

ご参考までに、アナウンスの原文へのリンクを以下に掲載します。 管理者の皆様におかれましては、 ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。

ISCによって公開された脆弱性情報

脆弱性の概要

DNSSECのバリデーションを有効にしたBIND (managed-keysで鍵を指定、 "dnssec-validation auto;" または "dnssec-lookaside auto;" とした場合)において、下記の条件をすべて満たした場合、 例外処理によりプロセスが停止、 あるいは予期しない動作が発生します。

  • 信頼する鍵として利用していた鍵が失効する
  • 他に信頼する鍵がない
  • 予備となる鍵(standby key)はあるが、信頼する鍵ではない

これは、 トラストアンカーの鍵更新が正しく行われない場合などに発生します。 ISCによれば、リモートからの攻撃は困難ではあるが、 攻撃者がBINDサーバのネットワークを制御可能な場合には攻撃が成立すると報告しています。

影響を受けるバージョン

  • 9.7.0 ~ 9.10.1-P1

開発版およびリリース候補版も影響を受けます (9.9.7b1 & rc1, 9.10.2b1 & rc1)

回避策

dnssec-validation, dnssec-lookaside の各オプションを "auto" に設定せず、managed-keys を設定しない。 この回避策を取りながらバリデーションを有効にする場合は、 trusted-keys ステートメントで適切な鍵を指定する。

解決策

修正済みのバージョンに更新する。

修正されたバージョン

  • 9.9.6-P2
  • 9.10.1-P2

参考情報

CVE

CVE-2015-1349

JPRS

BIND 9.xの脆弱性(DNSサービスの停止)について(2015年2月19日公開)
- DNSSEC検証を実施しているDNSサーバーのみ対象、バージョンアップを強く推奨 -

以上

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2020 Japan Network Information Center. All Rights Reserved.