「BIND 9」をはじめとする複数のDNSソフトにDoSの脆弱性DNSの基本仕様のあいまいさに根本原因、対策は修正版へのアップデート

BIND 9やUnbound、PowerDNS Recursorといった複数のDNSソフトウェアの全てのバージョンに、DoS攻撃につながる恐れのある脆弱性が存在する。対策は最新版へのアップデートだ。

» 2014年12月10日 08時46分 公開
[高橋睦美,@IT]

 日本レジストリサービス(JPRS)は2014年12月9日、BIND 9やUnbound、PowerDNS Recursorといった複数のDNSソフトウェアの全てのバージョンに、DoS攻撃につながる恐れのある脆弱性が存在することを明らかにし、注意を呼び掛けた。JPCERTコーディネーションセンター(JPCERT/CC)も同日、BIND 9に関する注意喚起文書を公表している。

 JPRSによるとこの脆弱性は、少なくとも全てのバージョンのBIND 9とUnbound、PowerDNS Recursorに存在する。他にも フルリゾルバーの機能を持つDNSソフトウェアは、同じく影響を受ける恐れがあるという。

 脆弱性は、キャッシュDNSサーバーの機能に存在する。DNSでは、同メイン名の階層を「ゾーン」と呼ばれる単位に分割することで分散管理を実現しているが、親から子にゾーンの管理を委任(delegation)する際の設定内容に適切な制限値が設定されていない。この仕組みを悪用し、外部から悪意を持つ委任を設定し、その委任を参照するような名前解決を実行させることにより、攻撃対象となったキャッシュDNSサーバーのCPUやメモリなどを過度に消費させ、DoS状態に陥らせることが可能だ。なお、権威DNSサーバーとして運用している場合でも、BIND 9に含まれるキャッシュDNSサーバーの機能を有効にしている場合は影響を受けるため、注意が必要という。

 JPRSはこの問題を、「DNSの基本仕様における定義の不明確さ、および各実装における不備の双方に起因している」と説明している。

 対策は、脆弱性を修正した「BIND 9.10.1-P1、BIND 9.9.6-P1」「Unbound 1.5.1」「PowerDNS Recursor 3.6.2」にアップグレードすることだ。なおBIND 9の開発元であるISCは、一時的な回避策は存在しないとしており、早急な更新を呼び掛けている。

 ISCによれば、今のところこの脆弱性を悪用した攻撃は確認されていないという。しかし、ひとたびDNSに関連するサービスに対してDoS攻撃が発生すれば、影響はサーバー運用者のみならず、それを利用する多数のユーザーに及ぶ。この脆弱性とは異なるが、12月初めには「DNSimple」がDDoS攻撃を受けて数時間に渡ってダウンし、それを利用していたWebサービスにも影響が波及する事件が発生している。

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。