Carview!

CARVIEW
MOTORHOMES
Select Language
HTTP/1.1 200 OK Date: Mon, 14 Jul 2025 05:06:41 GMT Content-Length: 5991 Content-Type: text/html Strict-Transport-Security: max-age=2592000 NSD 3.2.11/3.2.12の脆弱性を利用したサービス不能（DoS）攻撃について
DNS関連技術情報のトップへ戻る
---------------------------------------------------------------------
■NSD 3.2.11/3.2.12の脆弱性を利用したサービス不能（DoS）攻撃について
  - 設定の再確認と必要に応じた対策を推奨 -
                                株式会社日本レジストリサービス（JPRS）
                                            初版作成 2012/07/30（Mon）
---------------------------------------------------------------------
▼概要
  権威DNSサーバーの実装の一つであるNSD 3.2.11/3.2.12には実装上の不具合
  があり、サーバーに対するリモートからのサービス不能（DoS）攻撃が可能
  であることが、開発元のNLnet Labsから発表されました。本脆弱性により、
  提供者が意図しないサービスの停止が発生する可能性があります。
  ただし、本脆弱性はバージョン3.2.11において実験的に導入された、ゾーン
  ごとの統計機能を有効にしている場合にのみ該当します。そのため、該当す
  るNSD を利用しているユーザーは、設定の再確認と必要に応じた対策を取る
  ことを推奨します。
▼詳細
  NSD（Name Server Daemon）は権威DNSサーバーの実装の一つで、オランダの
  NLnet Labsで開発されています。NSDはオープンソースで開発されており、
  権威DNSサーバー機能に特化することで、高いパフォーマンスとシンプルな
  構造を実現しています（*1）。
  （*1）ルートサーバーの一部はNSDで運用されています。
  NSD 3.2.11/3.2.12では実装上の不具合により、バージョン3.2.11において
  実験的に導入された、ゾーンごとの統計機能（per zone statistics）を有
  効に設定していた場合（具体的には、configureの実行時に
  --enable-zone-statsオプションを指定していた場合）、権威を持たないデー
  タを応答する問い合わせを受信した際、サーバーの子プロセスが異常終了す
  る問題が発生します。異常終了した子プロセスは親プロセスによって自動的
  に再起動されますが、攻撃者が継続的に当該のDNSパケットを標的のサーバー
  に送信し続けることにより、サービス不能の状態にすることが可能となりま
  す。
  本脆弱性の対象となるNSDのバージョンは以下の通りです。
  ・NSD 3.2.11及び3.2.12
  本脆弱性については、以下の脆弱性情報（*2）も併せてご参照ください。
  （*2）CVE - CVE-2012-2979
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2979>
▼一時的な回避策
  ゾーンごとの統計機能を無効に設定してNSDを再インストールすることで、
  本脆弱性を回避できます。
▼解決策
  NSD 3.2.13へのバージョンアップ、またはNLnet Labsからリリースされた緊
  急パッチの適用、またはディストリビューションベンダーからリリースされ
  る更新の適用が必要となります。
  詳細につきましては、NLnet Labsが公開した情報（参考リンクに掲載）をご
  参照ください。
▼参考リンク
  以下に、NLnet Labsから発表されている情報へのリンクを記載します。また、
  各ディストリビューションベンダーからの情報やCVEの情報（*2）などもご
  確認の上、適切な対応をお願いいたします。
  * NLnet Labs
    Subject: NSD denial of service vulnerability from DNS packet when using
             --enable-zone-stats (default off). [VU#517036 CVE-2012-2979 ]
    <https://www.nlnetlabs.nl/downloads/CVE-2012-2979.txt>
    NSD 3.2.13
    <https://www.nlnetlabs.nl/downloads/nsd/nsd-3.2.13.tar.gz>
    NSD 3.2.11/3.2.12用のパッチ
    <https://www.nlnetlabs.nl/downloads/CVE-2012-2979/patch.diff>
---------------------------------------------------------------------
▼更新履歴
  2012-07-30 10:00 初版作成
Original Source | Taken Source