メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索

ネームサーバ管理者の方々へ

一般社団法人日本ネットワークインフォメーションセンター(JPNIC)

BIND 9における脆弱性について(2019年11月)

2019年11月20日(現地時間)、 複数のバージョンのBIND 9に存在する脆弱性の情報がISC (Internet Systems Consortium)から公開されました。

本脆弱性は、 TCPパイプラインによるクエリがTCPクライアント制限を迂回できる可能性があるというものです。

ご参考までに、アナウンスの原文へのリンクを以下に掲載します。 管理者の皆さまにおかれましては、 ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。

CVE-2019-6477: TCPパイプラインによるクエリがTCPクライアント制限を迂回できる可能性がある

概要

単一のTCPセッションにおいて複数の問い合わせ・応答を並行して処理することを、 TCPパイプラインによる処理といいます。

TCPパイプラインによる問い合わせに応答するサーバに対して、 単一のTCPクライアントが単一の接続で大量のDNS問い合わせを送った場合、 TCPクライアントの設定制限数を迂回できる可能性があります。

影響

TCPパイプラインによる問い合わせがあった場合、 サーバーが計算処理にあらかじめ割り当てていた計算資源よりも多くの計算量を必要とすることがあります。 多くの問い合わせを並行したTCPパイプラインの接続があった場合、 該当TCPのセッション終了時に、計算資源の解放に負荷が発生し、 問い合わせへの応答が実施されないように見える可能性があります。

影響を受けるバージョン

9.11.6-P1 ~ 9.11.12
9.12.4-P1 ~ 9.12.4-P2
9.14.1  ~ 9.14.7
9.11.5-S6 ~ 9.11.12-S1
9.15.0  ~ 9.15.5開発版系列

9.11.0 より前のバージョンは脆弱性の評価がされていません。

回避策

サーバーのTCPパイプライン接続の設定を、下記のように無効にする。

keep-response-order { any; };

その後、BINDをrestartする (reload や reconfig ではTCPパイプライン接続を適切にリセットできません)。

解決策

修正されたバージョンに更新する。

(注意)
この修正されたバージョンではサーバーのメモリリークの問題は対応されますが、 TCPパイプライン応答が一部未処理のままとなる問題は残る可能性があります。

修正されたバージョンとダウンロードページ

9.11.13
9.14.8
9.15.6
9.11.13-S1

https://www.isc.org/downloads/

ISCからのアナウンス

CVE-2019-6477: TCP-pipelined queries can bypass tcp-clients limit
https://kb.isc.org/docs/cve-2019-6477

参考

CVE

CVE-2019-6477
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6477

JPRS

(緊急)BIND 9.xの脆弱性(システムリソースの過度な消費)について (CVE-2019-6477) - フルリゾルバー(キャッシュDNSサーバー)/ 権威DNSサーバーの双方が対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2019-11-21-bind9-vuln-tcp-pipelining.html

JPCERT/CC

ISC BIND 9 の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190043.html

以上

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2019 Japan Network Information Center. All Rights Reserved.