---------------------------------------------------------------------
■BIND 9.xの脆弱性(サービス提供者が意図しないアクセスの許可)について
(2013年11月7日公開)
- Windows版のみが対象、バージョンアップを強く推奨 -
株式会社日本レジストリサービス(JPRS)
初版作成 2013/11/07(Thu)
---------------------------------------------------------------------
▼概要
Winsockライブラリの動作に起因する不具合により、特定の条件下において
namedに内蔵されているlocalnetsアクセスコントロールリスト(以下、
localnets ACL)が誤って設定される脆弱性が、開発元のISCから発表されま
した。本脆弱性によりサービス提供者が意図しないアクセスの許可が実施さ
れ、DNSリフレクター攻撃の踏み台としての悪用や、不正なゾーン転送によ
るデータの流出などの不具合が発生する可能性があります。
本脆弱性はWindows上で動作するnamedのみが対象となり、Unix上で動作する
namedは対象となりません。該当するシステムでBIND 9.xを利用しているユー
ザーは、関連情報の収集やバージョンアップなど、適切な対応を速やかに取
ることを強く推奨します。
▼詳細
複数のWindowsシステムに実装されているWinsockライブラリのWSAIoctl
APIでは、ネットワークインターフェースのIPv4のネットマスクとして
255.255.255.255(すべてのビットがセット)が設定されている場合、
0.0.0.0(すべてのビットがクリア)を返します。
BIND 9ではlocalnets ACLを作成する際、namedが使用するネットワークイン
ターフェースのIPv4アドレスとネットマスクを調べ、その値により範囲を計
算します。そのため、当該のWindowsシステムにおいてIPv4のネットマスク
として255.255.255.255が設定されていた場合、作成されたlocalnets ACLに
すべてのIPv4アドレスがマッチすることになります。
localnets ACLはnamedにおいて、再帰検索要求の許可(allow-recursion)
などのデフォルト設定として使われています。そのため、この状況が発生し
た場合すべてのIPv4アドレスからの再帰検索要求が許可された状態、つまり、
オープンリゾルバーの状態となります。結果として、当該のサーバーが外部
からのDNSリフレクター攻撃の踏み台として悪用される可能性があります。
また、他のオプションにおいてlocalnets ACLを指定していた場合も同様に、
すべてのIPv4アドレスからのアクセスが許可された状態となります。これに
より、不正なゾーン転送要求によるデータの流出や不正なダイナミックアッ
プデートによるデータの改ざんなどが発生する可能性があります。
なお、本脆弱性はWinsockライブラリの動作に起因する不具合であり、
Windows上で動作するnamedのみが対象となります。Unix上で動作するnamed
は本脆弱性の対象となりません。
▽対象となるバージョン
本脆弱性は、Windows版のすべてのバージョンのBIND 9が対象となります。
そのため、以下のすべてのバージョンが対象に含まれます。
オープンソース版:
・9.6系列:9.6-ESV~9.6-ESV-R10
・9.8系列:9.8.0~9.8.6
・9.9系列:9.9.0~9.9.4
サブスクリプション版:
・9.9.3-S1、9.9.4-S1
BIND 10は、本脆弱性の対象となりません。なお、ISCでは9.6-ESVを除く
9.7以前の系列のBIND 9のサポートを終了しており、これらのバージョンに
対するセキュリティパッチはリリースしないと発表しています。
▽影響範囲
ISCは、本脆弱性の深刻度(Severity)を「高(High)」と評価しています。
ただし、本脆弱性は、
・Windows版のBIND 9を使用している
・かつ、ネットワークインターフェースのIPv4のネットマスクとして
255.255.255.255が設定されている
場合にのみ該当します。
本脆弱性については、以下の脆弱性情報(*1)も併せてご参照ください。
(*1)CVE - CVE-2013-6230
<https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6230>
▼一時的な回避策
以下の方法により、本脆弱性の影響を回避できます。
・IPv4のネットマスクとして255.255.255.255を使用しない
・やむを得ず255.255.255.255を使用する場合、named.confにおける設定に
localnets ACLを指定せず、かつ、デフォルト設定としてlocalnets ACLが
使われているallow-recursionなどのオプションについては、ACLを別途指
定する
▼解決策
本脆弱性を修正したパッチバージョン(BIND 9.6-ESV-R10-P1/9.8.6-P1/
9.9.4-P1)への更新、あるいは各ディストリビューションベンダーからリリー
スされる更新の適用を、速やかに実施してください。
なお、サブスクリプション版のパッチバージョンにつきましては、ISCのサ
ポート窓口にお問い合わせください。
▼参考リンク
以下に、ISCから発表されている情報へのリンクを記載します。また、各ディ
ストリビューションベンダーからの情報や前述のCVEの情報などもご確認の
上、適切な対応をとることを強く推奨します。
- ISC
セキュリティアドバイザリ
CVE-2013-6230: A Winsock API Bug Can Cause a Side-Effect Affecting BIND ACLs
<https://kb.isc.org/article/AA-01062>
本脆弱性に関するFAQ及び追加情報
CVE-2013-6230: FAQ and Supplemental Information
<https://kb.isc.org/article/AA-01063>
パッチバージョンの入手先
BIND 9.6-ESV-R10-P1
<http://ftp.isc.org/isc/bind9/9.6-ESV-R10-P1/bind-9.6-ESV-R10-P1.tar.gz>
BIND 9.8.6-P1
<http://ftp.isc.org/isc/bind9/9.8.6-P1/bind-9.8.6-P1.tar.gz>
BIND 9.9.4-P1
<http://ftp.isc.org/isc/bind9/9.9.4-P1/bind-9.9.4-P1.tar.gz>
Windows版バイナリの入手先
BIND 9.6-ESV-R10-P1
<http://ftp.isc.org/isc/bind9/9.6-ESV-R10-P1/BIND9.6-ESV-R10-P1.zip>
BIND 9.8.6-P1
<http://ftp.isc.org/isc/bind9/9.8.6-P1/BIND9.8.6-P1.zip>
BIND 9.9.4-P1
<http://ftp.isc.org/isc/bind9/9.9.4-P1/BIND9.9.4-P1.zip>
▼連絡先
本文書に関するお問い合わせは <dnstech-info@jprs.jp> までご連絡ください。
---------------------------------------------------------------------
▼更新履歴
2013/11/07 11:00 初版作成
株式会社日本レジストリサービス Copyright©2001-2024 Japan Registry Services Co., Ltd.