メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です
文字サイズ:
プリント用ページ

ネームサーバ管理者の方々へ

一般社団法人日本ネットワークインフォメーションセンター

BIND 9におけるTSIG認証に絡んだ複数の脆弱性について(2017年6月)

2017年6月29日(現地時間)、 BIND 9の複数のバージョンに存在する脆弱性の情報がISC (Internet Systems Consortium)から公開されました。

これらの脆弱性は、 TSIG (Transaction Signature)のアクセス制限の不具合により許可されていないゾーン転送やdynamic updateを受け入れてしまうという脆弱性で、 権威サーバに影響があります。

ご参考までに、アナウンスの原文へのリンクを以下に掲載します。 管理者の皆さまにおかれましては、 ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。

CVE-2017-3143: TSIG認証の誤りによって認証されてないゾーン転送が許可される

概要 権威サーバへDNSメッセージを送受信可能で、 かつ正当なTSIG鍵の名前を知っている攻撃者は、 細工したパケットを送ることでAXFR要求のTSIG認証を迂回することができます。 アクセスコントロールリスト(ACL)をTSIG鍵のみに設定されているサーバは、 以下の操作が行われる可能性があります。
  • 認証されていない受信者に対してAXFRによるゾーン転送を許可してしまう
    • その結果、攻撃者はゾーンの内容をすべて閲覧することが可能です。
  • 偽のNOTIFYパケットを受け付けてしまう
    • 攻撃者はゾーン転送のリフレッシュ間隔を短縮させることが可能です。
影響を受けるバージョン 9.4.0 ~ 9.8.8
9.9.0 ~ 9.9.10-P1
9.10.0 ~ 9.10.5-P1
9.11.0 ~ 9.11.1-P1
9.9.3-S1 ~ 9.9.10-S2
9.10.5-S1 ~ 9.10.5-S2
回避策 ACLをTSIGのみによる制限だけではなく、 IPアドレスによる制限を行うことで回避が可能です。 (ただし、 許可されたIPアドレス内から攻撃者が偽のNOTIFYパケットを送信可能な場合は回避できません)
解決策 修正済みのバージョンに更新する。
修正されたバージョン 9.9.10-P2
9.10.5-P2
9.11.1-P2
9.9.10-S3
9.10.5-S3

CVE-2017-3143: TSIG認証の誤りによって認証されてないdynamic updateが許可される

概要 権威サーバへDNSメッセージを送受信可能で、 かつ正当なTSIG鍵の名前を知っている攻撃者は、細工したパケットを送ることで、 BINDに対し認証されていないdynamic updateを受け付けるよう操作することが可能です。 攻撃者はこの脆弱性を利用することで、 ACLをTSIG鍵のみに設定されているサーバに対してゾーンの内容を自由に書き換えることが可能です。
影響を受けるバージョン 9.4.0 ~ 9.8.8
9.9.0 ~ 9.9.10-P1
9.10.0 ~ 9.10.5-P1
9.11.0 ~ 9.11.1-P1
9.9.3-S1 ~ 9.9.10-S2
9.10.5-S1 ~ 9.10.5-S2
回避策 ACLをTSIGのみによる制限だけではなく、 IPアドレスによる制限を行うことで回避が可能です。
また、named.confのオプションを "update-policy local;" としている場合、 動作の詳細確認とそれによるリスクの影響を評価する必要があります。 (デフォルトでは有効になっていません)
解決策 修正済みのバージョンに更新する。
修正されたバージョン 9.9.10-P2
9.10.5-P2
9.11.1-P2
9.9.10-S3
9.10.5-S3

ISCからのアナウンス

CVE-2017-3142: An error in TSIG authentication can permit unauthorized zone transfers
https://kb.isc.org/article/AA-01504/74/CVE-2017-3142%3A-An-error-in-TSIG-authentication-can-permit-unauthorized-zone-transfers.html
CVE-2017-3143: An error in TSIG authentication can permit unauthorized dynamic updates
https://kb.isc.org/article/AA-01503/74/CVE-2017-3143%3A-An-error-in-TSIG-authentication-can-permit-unauthorized-dynamic-updates.html

参考

CVE

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3142
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3143

JPRS

BIND 9.xの脆弱性(TSIG認証の迂回によるゾーンデータの流出)について(CVE-2017-3142) - バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2017-06-30-bind9-vuln-circumvent-tsig-auth-axfr.html
(緊急)BIND 9.xの脆弱性(TSIG認証の迂回によるゾーンデータの操作)について(CVE-2017-3143) - バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2017-06-30-bind9-vuln-circumvent-tsig-auth-dynamic-update.html

JPCERT

ISC BIND 9の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170024.html

以上

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

▲頁先頭へ