脆弱性の対象は?
権威DNSサーバーとしてNSEC3を用いてDNSSEC署名されたゾーンををもつnamedが対象です。
複数のバージョンに、BIND9も!
全てのバージョンのBIND9
※BIND10は除く。
全てのバージョンのUnbound
全てのバージョンのPowerDNS Recursor
脆弱性は、キャッシュDNSサーバーの機能に存在する。DNSでは、同メイン名の階層を「ゾーン」と呼ばれる単位に分割することで分散管理を実現しているが、親から子にゾーンの管理を委任(delegation)する際の設定内容に適切な制限値が設定されていない。この仕組みを悪用し、外部から悪意を持つ委任を設定し、その委任を参照するような名前解決を実行させることにより、攻撃対象となったキャッシュDNSサーバーのCPUやメモリなどを過度に消費させ、DoS状態に陥らせることが可能だ。なお、権威DNSサーバーとして運用している場合でも、BIND 9に含まれるキャッシュDNSサーバーの機能を有効にしている場合は影響を受けるため、注意が必要という。
JPRSはこの問題を、「DNSの基本仕様における定義の不明確さ、および各実装における不備の双方に起因している」と説明している。
本脆弱性はキャッシュDNSサーバーの機能に存在する脆弱性であり、権威
DNSサーバーは対象となりません。しかし、BIND 9ではキャッシュDNSサーバー
と権威DNSサーバーの機能が一つのサーバープログラムに共存しており、双
方が有効に設定されている場合、本脆弱性の対象となります。また、BIND 9では外部からの名前解決要求を無効に設定している、具体的に
はnamed.confなどの設定ファイルにおいて「recursion no;」オプションを
指定している場合であっても、本脆弱性が影響を及ぼす場合があることに注
意が必要です(*1)。
あらら・・。
今回のものではDOS攻撃が可能になってしまうようです。
出典:@IT
どうすればいいの?
一時的な回避策はなく、パッチを当てる事のみが有効です。
9日に発覚後にすぐパッチがでましたので適用してください。
(※パッチによるアップデートは自己責任でお願いします。)
パッチバージョンの入手先
BIND 9.6-ESV-R10-P2
http://ftp.isc.org/isc/bind9/9.6-ESV-R10-P2/bind-9.6-ESV-R10-P2.tar.gz
BIND 9.8.6-P2
http://ftp.isc.org/isc/bind9/9.8.6-P2/bind-9.8.6-P2.tar.gz
BIND 9.9.4-P2
http://ftp.isc.org/isc/bind9/9.9.4-P2/bind-9.9.4-P2.tar.gz
DNSは定期的に脆弱性が発覚し、攻撃がされやすいサービスですので
ドメイン屋さんのDNSや外部サービスに頼るのもありです。