DNS関連技術情報のトップへ戻る
---------------------------------------------------------------------
■(緊急)BIND 9.xの致命的な脆弱性(過度のメモリ消費)について(2013年3月27日公開)
  - キャッシュ/権威DNSサーバーの双方が対象、即時の対応を強く推奨 -

                                株式会社日本レジストリサービス(JPRS)
                                            初版作成 2013/03/27(Wed)
---------------------------------------------------------------------

▼概要

  BIND 9.xにおける実装上の問題により、namedに対する外部からの攻撃が可
  能となる脆弱性が、開発元のISCから発表されました。本脆弱性により
  namedが過度のメモリ消費を引き起こし、その結果としてnamedを含む当該サー
  バーで動作しているプログラム及びシステムに、サービスの異常動作や停止
  につながる致命的な影響が発生する可能性があります。

  本脆弱性は影響が大きく、かつキャッシュDNSサーバー及び権威DNSサーバー
  の双方が対象となることから、該当するBIND 9.xを利用しているユーザーは
  関連情報の収集及び即時の対応を取ることを強く推奨します。

▼詳細

  BIND 9.7以降のlibdnsライブラリ内には実装上の問題があり、当該のサブルー
  チンを呼び出しているプログラムにおいて特定の操作が行われた場合、過度
  のメモリ消費を引き起こす障害が発生します。

  本脆弱性によりnamedを含む、当該のサーバーで動作しているプログラム及
  びシステムがメモリ不足に陥り、サービスの異常動作や停止につながる致命
  的な影響が発生する可能性があります。また、本脆弱性を利用した攻撃はリ
  モートから可能であり、かつ、キャッシュDNSサーバー/権威DNSサーバーの
  双方が対象となります。

  また、本脆弱性はlibdnsライブラリ内に存在するため、本ライブラリを使用
  している他のプログラム(digなど)にも影響を及ぼします。そのためISCで
  は、namedを使用していない場合についても対策の実施を推奨しています。

▽対象となるバージョン

  本脆弱性は、BIND 9.7以降の以下のバージョンのBIND 9が対象となります。

  ・9.7系列: すべてのバージョン
  ・9.8系列: 9.8.0~9.8.5b1
  ・9.9系列: 9.9.0~9.9.3b1

  なお、BIND 9.6-ESV及びBIND 10は本脆弱性の対象となりません。

▽影響範囲

  ISCは、本脆弱性の深刻度(Severity)を「重大(Critical)」と評価して
  います。本脆弱性は、

  ・キャッシュDNSサーバー及び権威DNSサーバーの双方が対象となること

  ・多くのバージョンのBIND 9が対象となること

  ・namedの設定ファイル(named.conf)によるアクセスコントロール(ACL)
    の設定では影響を回避・軽減できないこと

  ・インターネットに直接接続していないキャッシュ/権威DNSサーバーも、
    攻撃の対象となりうること

  などから、広い範囲での緊急対策が必要となります。

  本脆弱性については、以下の脆弱性情報(*1)も併せてご参照ください。

  (*1)CVE - CVE-2013-2266
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2266>

  なお、Windows版のBIND 9.xは本脆弱性の影響を受けません。

▼一時的な回避策

  正規表現サポートを除外してBIND 9を再コンパイル/インストールすること
  により、本脆弱性を回避できます。具体的な手順については参考リンクに記
  載した、ISCから発表されている情報を参照してください。

  なお、BIND 9.7系列はISCによるサポートが終了しており、脆弱性を修正し
  たバージョンはリリースされません。ただし、今回の回避策はBIND 9.7系列
  に対しても有効です。

▼解決策

  BIND 9.9.2-P2/9.8.4-P2へのアップグレード、または各ディストリビューショ
  ンベンダーからリリースされるパッチの適用を実施してください。

▼参考リンク

  以下に、ISCから発表されている情報へのリンクを記載します。また、各ディ
  ストリビューションベンダーからの情報や前述のCVEの情報などもご確認の
  上、適切な対応をお願いいたします。

  - ISC

    CVE-2013-2266: A Maliciously Crafted Regular Expression Can Cause
    Memory Exhaustion in named
    <https://kb.isc.org/article/AA-00871>
    CVE-2013-2266 [JP]: 不正に細工された正規表現によってnamedがメモリ不足になる
    <https://kb.isc.org/article/AA-00881>

    BIND 9.9.2-P2
    <http://ftp.isc.org/isc/bind9/9.9.2-P2/bind-9.9.2-P2.tar.gz>
    BIND 9.8.4-P2
    <http://ftp.isc.org/isc/bind9/9.8.4-P2/bind-9.8.4-P2.tar.gz>

▼連絡先

  本文書に関するお問い合わせは <dnstech-info@jprs.jp> までご連絡ください。

---------------------------------------------------------------------
▼更新履歴
  2013-03-27 11:00 初版作成
株式会社日本レジストリサービス Copyright©2001-2024 Japan Registry Services Co., Ltd.