2015年9月3日

ネームサーバ管理者の方々へ

一般社団法人日本ネットワークインフォメーションセンター

BIND9における不正なDNSSEC鍵による動作停止の脆弱性について(2015年9月)

2015年9月2日(現地時間)、 BIND9の複数のバージョンに存在する脆弱性の情報がISC (Internet Systems Consortium)から公開されました。

この脆弱性は、 DNSSEC検証を行うBIND9が細工されたDNSSECの鍵を処理する際に動作を停止するというものです。

ご参考までに、アナウンスの原文へのリンクを以下に掲載します。 管理者の皆さまにおかれましては、 ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。

記

脆弱性の概要

BINDが細工されたDNSSECの鍵を解析する際に、 アサーション(assertion)に失敗するため終了します。 悪意のある攻撃者が細工した鍵を含んだゾーンについてBINDに対して問い合わせをさせることなどでこの状態を引き起こすことが可能です。

影響は主にキャッシュサーバにありますが、 権威サーバについても特定の条件で影響を受ける可能性があります。

影響を受けるバージョン

BIND	9.0.0 ～ 9.8.8 9.9.0 ～ 9.9.7-P2 9.10.0 ～ 9.10.2-P3

回避策

DNSSEC検証を行わないサーバはこの脆弱性の影響を受けませんが、 ISCは、本問題への対処として検証を無効にすることをせず、 適切なバージョンへアップグレードすることを推奨しています。

解決策

修正済みのバージョンに更新する。

修正されたバージョン

BIND	9.9.7-P3 9.10.2-P4

https://www.isc.org/downloads/

ISCからのアナウンス

• CVE-2015-5722: Parsing malformed keys may cause BIND to exit due to a failed assertion in buffer.c

参考

CVE

• CVE-2015-5722

株式会社日本レジストリサービス(JPRS)

• (緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(2015年9月3日公開)

以上