ISC BIND9に、「特定の形態で細工されたダイナミックアップデートパケットを受信することによりクラッシュする」という、DoS攻撃に対する脆弱性がみとめられた。
BIND9 Dynamic Update機能の脆弱性の概要
ISC (Internet System Consorthium)が開発・提供しているDNSサーバソフトウェア「BIND9」に、「特定の形態で細工されたダイナミックアップデートパケット(RFC2136参照)を受信することによりクラッシュする」という、DoS攻撃に対する脆弱性があることがISCにより報告され、US-CERT Vulnerability Note(脆弱性ノート)VU#725188に登録された 。
2009年7月28日現在、本件はVulnerability Noteの段階で、警告(US-CERT Security Alert)には至っていないが、DNSサーバは、その「オープン」な性格から、脆弱性を狙った攻撃の対象としては、常時トップにランクされる。早目の対策が好ましい。
US-CERT Vulnerability Note VU#725188
BIND9 Dynamic Update DoS攻撃対策パッチ
対策パッチ済みソースのダウンロード方法は、上記の「ISC – Bind Dynamic Update DoS」のリンク先のISCのWEBページ後半に、以下の各ヴァージョンのソースパッケージへのリンクがあるので、そのリンクでダウンロード可能。
- bind-9.6.1-P1
- bind-9.5.1-P3
- bind-9.4.3-P3
BIND9 Dynamic Update DoS攻撃対策の必要性判断に関する注意
この脆弱性については、BINDのソースをビルドする際にあえてDynamic Updateの機能を丸ごと外しでもしないかぎり、上記の対作品を除くすべてのBINDが対象であり、対策を施すことが推奨される。
- DDNS等、ダイナミックアップデート機能を利用していない場合にも、この脆弱性を利用される可能性がある。
- キャッシュオンリーDNSなどドメインマスターでないDNSサーバについても、127.0.0.1等のゾーンについてはマスターであり、この脆弱性を利用した攻撃を受ける可能性がある。