| CARVIEW |
Select Language
HTTP/1.1 200 OK
Date: Mon, 14 Jul 2025 14:49:11 GMT
Content-Length: 5409
Content-Type: text/html
Strict-Transport-Security: max-age=2592000
BIND 9のallow-queryによるアクセス制限の不具合について
株式会社日本レジストリサービス Copyright©2001-2025 Japan Registry Services Co., Ltd.
---------------------------------------------------------------------
■BIND 9のallow-queryによるアクセス制限の不具合について
- パッチ適用を推奨 -
株式会社日本レジストリサービス(JPRS)
2010/12/02(Thu)
---------------------------------------------------------------------
▼概要
9.7.2-P2のBIND 9には、権威DNSサーバーとして使用した場合に本来有効と
なるべきallow-queryによるアクセス制限が有効にならない不具合があり、
リモートからのサービス不能(DoS)攻撃などの際に十分な対応ができない
可能性があることが、開発元のISCより発表されました。該当するBIND 9を
利用しているユーザは関連情報の収集やパッチの適用等、適切な対応を取る
ことを推奨します。
▼詳細
BIND 9を権威DNSサーバーとして使用した場合、named.confファイル内にお
けるallow-queryによるアクセス制限は、
(1)zoneステートメント内における指定
(2)viewステートメント内における指定
(3)optionsステートメント内における指定
の順に評価されます。もし、(1)~(3)のいずれも存在しなかった場合、
すべてのIPアドレスからのDNS問い合わせに対し、応答を返します。
(allow-query { "any" }; の状態)
しかし、該当するBIND 9では、zoneステートメントにおいてallow-queryが
指定されていなかった場合、本来評価されるべきviewステートメント及び
optionsステートメント内におけるallow-queryの指定が評価されず、結果と
して管理者が予期しない形でアクセスが許可されてしまう不具合があります。
このため、例えばリモートからのサービス不能(DoS)攻撃を受けた際など
に、本機能を使用した緊急対応が十分に実施できない可能性があります。
なお、本不具合による影響は権威DNSサーバーにおいてallow-queryを指定し
た場合のみであり、allow-recursion及びallow-query-cacheによるアクセス
制限には影響を与えません。
本不具合の詳細については以下の情報(*1)をご参照ください。
(*1)CVE - CVE-2010-3615
<https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3615>
Vulnerability Note VU#510208
<https://www.kb.cert.org/vuls/id/510208>
▼対策
ISCおよび各ディストリビューションベンダからリリースされたパッチリリー
スへの更新を実施することにより、本不具合を修正できます。なお、即時の
更新が困難な場合、それぞれのzoneステートメント内においてallow-query
を個別に指定することにより、不具合を回避できます。
▼障害情報・パッチリリース
以下にBIND 9の開発元であるISCから発表されているパッチ等の情報を記載
します。また、各ディストリビューションベンダからの情報や上記の情報な
どもご確認の上、適切な対応をお願いいたします。
ISC Security Advisories
<https://www.isc.org/software/bind/advisories/cve-2010-3615>
ISC BIND patch release
- BIND 9.7.2-P3
<https://ftp.isc.org/isc/bind9/9.7.2-P3/bind-9.7.2-P3.tar.gz>
株式会社日本レジストリサービス Copyright©2001-2025 Japan Registry Services Co., Ltd.