CVE-2012-3817 [JP]: 高負荷のDNSSEC検証によってBIND9に"Bad Cache"表明違反が発生する
  • 24 Jul 2012
  • 1 Minute to read
  • Contributors
  • Dark
    Light
  • PDF

CVE-2012-3817 [JP]: 高負荷のDNSSEC検証によってBIND9に"Bad Cache"表明違反が発生する

  • Dark
    Light
  • PDF

Article Summary

高負荷のDNSSEC検証によってBIND9に"Bad Cache"表明違反が発生する

概要:  DNSSEC検証を有効にした状態でクエリを多数受けると、namedにおいて初期化前の無効なキャッシュデータが使用され表明違反を引き起こすことがあります。

CVE:  CVE-2012-3817

文書バージョン:  2.0(原文バージョン)

公開日付:  2012年7月24日

影響を受けるプログラム:  BIND 9

影響を受けるバージョン:  9.6-ESV-R1 から 9.6-ESV-R7-P1 まで; 9.7.1 から 9.7.6-P1 まで; 9.8.0 から 9.8.3-P1 まで; 9.9.0 から 9.9.1-P1 まで

深刻度:  重大(Critical)

攻撃方法:  遠隔から可能

詳細:  BIND 9は、正しく設定されていないと見られるサーバや、確立できない(DNSSECの)信用の連鎖(chain of trust)のために失敗したクエリ名をキャッシュしています。DNSSEC検証が有効になっている状況でクエリ処理が高負荷となると、このキャッシュのデータが完全に初期化される前に利用される状況が生じ、これによって表明違反が引き起こされることがあります。

このバグはお使いのサーバでDNSSECの検証を有効にしていない限り引き起こされません。

ご注意: BIND 9.4および9.5も本問題の影響を受けますが、これらのバージョンはサポート期限を過ぎており("end of life", EOL)、ISCにおけるテストやセキュリティ修正の対象外です。現在サポート対象のバージョンに関する情報は、こちらをご参照ください:http://www.isc.org/software/bind/versions

CVSSスコア:  7.8

CVSS評価基準:  (AV:N/AC:L/Au:N/C:N/I:N/A:C)

CVSS (Common Vulnerability Scoring System)についての詳細情報、および個別の環境におけるスコアの算出方法については、以下のリンクをご参照ください: http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:C)

一時的な回避策:  回避策は存在しません。

解決策:  現在お使いのバージョンのBINDにもっとも近いパッチリリースへのアップグレード。新しいバージョンは以下の通り BIND 9.6-ESV-R7-P2 BIND 9.7.6-P2 BIND 9.8.3-P2 BIND 9.9.1-P2

最新版のダウンロードはこちらから: http://www.isc.org/downloads/all

攻撃状況:  現状で知られている攻撃事例はありません。

謝辞:  IIS.seのEinar Lonn氏に感謝致します。

お問い合わせ先:  本勧告に関するご質問はこちらへお送りください: security-officer@isc.org.

ISCの脆弱性公開ポリシー:  ISCのセキュリティ勧告に関する最新のポリシーおよび運用についてはこちらのリンクをご参照ください(英語): https://www.isc.org/security-vulnerability-disclosure-policy

免責事項(Legal Disclaimer):

(ご注意: この項の内容は英語の原文の参考訳です。より正確な情報が必要な場合は原文をご参照ください。また、原文と訳文の間に意味の違いがある場合は、原文の内容が正式です)

Internet Systems Consortium (ISC)は、本勧告を「現状のまま」提供しています。本勧告ではいかなる種類の保証(warranty or guarantee)についても述べていませんし、そうした保証を黙示してもいません。ISCは本勧告および本勧告が参照する資料に関するいかなる保証に ついても一切責任を負わないものとします。こうした保証には、商品適合性、特定目的への適合性、隠れた瑕疵の不在、および非侵害についての黙示的保証が含 まれますが、これらに限定するものではありません。本勧告および本勧告が参照する資料のご使用は、使用者ご自身の責任においてなされるものとします。 ISCは本勧告を(将来の)任意の時点で変更する可能性があります。

もし、この文書の独立した複製物に、この文書のURLが含まれていない場合、それは「未管理の複製物」です。未管理の複製物は、重要な情報を欠いていたり、内容が古かったり、事実関係に関する誤りを含んでいたりする可能性があります。

© 2001-2018 Internet Systems Consortium For assistance with problems and questions for which you have not been able to find an answer in our Knowledge Base, we recommend searching our community mailing list archives and/or posting your question there (you will need to register there first for your posts to be accepted). The bind-users and the dhcp-users lists particularly have a long-standing and active membership. ISC relies on the financial support of the community to fund the development of its open source software products. If you would like to support future product evolution and maintenance as well having peace of mind knowing that our team of experts are poised to provide you with individual technical assistance whenever you call upon them, then please consider our Professional Subscription Support services - details can be found on our main website.