Carview!

CARVIEW
MOTORHOMES
Select Language
HTTP/1.1 200 OK Date: Mon, 14 Jul 2025 15:10:59 GMT Content-Length: 7367 Content-Type: text/html Strict-Transport-Security: max-age=2592000 （緊急）BIND 9.xのネガティブキャッシュ機能の実装上のバグによるnamedのサービス停止について
DNS関連技術情報のトップへ戻る
---------------------------------------------------------------------
■（緊急）BIND 9.xのネガティブキャッシュ機能の実装上のバグによる
  namedのサービス停止について - バージョンアップを強く推奨 -
                                株式会社日本レジストリサービス（JPRS）
                                            初版作成 2011/05/27（Fri）
                                                更新 2011/06/01（Wed）
                                            (ISC発表文書の更新を反映）
---------------------------------------------------------------------
▼概要
  BIND 9.xのネガティブキャッシュの取り扱いには実装上のバグがあり、
  namedのリモートからのクラッシュ（サービス停止）が可能であることが、
  開発元のISCより発表されました。本脆弱性により、提供者が意図しない、
  名前解決サービスの停止が発生する可能性があります。
  かつ、本脆弱性を利用した具体的な攻撃方法が既にインターネット上で公表
  されていることから、該当するBIND 9を利用しているユーザは、関連情報の
  収集や緊急パッチの適用等、適切な対応を速やかに取ることを強く推奨しま
  す。
▼詳細
  ネガティブキャッシュはDNSの否定応答（その名前は存在しない（NXDOMAIN）
  やそのリソースレコードセットは存在しない（NODATA））をキャッシュする
  ことによりDNSの応答速度を向上させ、かつDNSサーバーに対する負荷を軽減
  させる機能であり、RFC 2308で定義されています。
  BIND 9.xでは実装上の不具合により、非常に大きなRRSIGリソースレコード
  セットを含むDNSの否定応答を権威DNSサーバーから受信した場合にnamed内
  部でエラーが発生し、namedがクラッシュする問題が発生します。
  このため、攻撃者が該当するリソースレコードセットを含むデータを権威
  DNSサーバーと共に準備し、外部からそのデータをDNSの否定応答に含む形で
  検索させるように誘導することにより、キャッシュDNSサーバーとして動作
  しているnamedを、リモートから停止させることが可能となります。
  開発元であるISCは、本脆弱性の深刻度（Severity）を「高（High）」と評
  価しています。また、
  ・既に本脆弱性を利用した具体的な攻撃方法がインターネット上に公開され
    ていること
  ・現時点でサポートされているほぼすべてのBIND 9が本脆弱性の影響を受け
    ること
  ・namedにおいてDNSSECの機能を有効にしていない場合であっても、本脆弱
    性の影響を受けること
  などから、広い範囲での適切な緊急対策が必要となります。
  なお、再帰検索要求を受け付けないように設定されている権威DNSサーバー
  については、本脆弱性の影響を受けません。また、BIND 9.6.2-P3について
  は、本脆弱性の影響を受けません。
  本脆弱性の詳細については以下の脆弱性情報（*1）をご参照ください。
  （*1）CVE - CVE-2011-1910
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1910>
        US-CERT Vulnerability Note VU#795694
        <https://www.kb.cert.org/vuls/id/795694>
▼一時的な回避策
  キャッシュDNSサーバーにおける適切なアクセスコントロールの実施により、
  本脆弱性による危険性を低減できます。ただし、本方法は根本的な問題解決
  とならないため、以下に示す解決策による、追加対応の速やかな実施が必要
  となります。
▼解決策
  BIND 9.8.0-P2/9.7.3-P1/9.6-ESV-R4-P1/9.4-ESV-R4-P1へのアップグレード、
  または各ディストリビューションベンダからリリースされたパッチの適用を
  速やかに実施してください。
▼参考リンク
  以下に、BIND 9の開発元であるISCから発表されている情報へのリンクを記
  載します。また、各ディストリビューションベンダからの情報やCVE、
  US-CERTの情報（*1）等もご確認の上、適切な対応をお願いいたします。
  * ISC
    Large RRSIG RRsets and Negative Caching can crash named
    <https://www.isc.org/software/bind/advisories/cve-2011-1910>
    BIND 9.8.0-P2
    <ftp://ftp.isc.org/isc/bind9/9.8.0-P2>
    BIND 9.7.3-P1
    <ftp://ftp.isc.org/isc/bind9/9.7.3-P1>
    BIND 9.6-ESV-R4-P1
    <ftp://ftp.isc.org/isc/bind9/9.6-ESV-R4-P1>
    BIND 9.4-ESV-R4-P1
    <ftp://ftp.isc.org/isc/bind9/9.4-ESV-R4-P1>
---------------------------------------------------------------------
▼更新履歴
  2011-05-27 16:00 初版作成
  2011-06-01 11:00 ISC発表文書の更新を反映
                   - US-CERTのVU#情報追加
                   - 9.6.2-P3は本脆弱性の影響を受けない旨を追加
                   - BIND 9.4-ESV-R4-P1の公開を反映
                   - 上記に伴う文書の一部修正
Original Source | Taken Source