Carview!

CARVIEW
MOTORHOMES
Select Language
HTTP/1.1 200 OK Date: Mon, 14 Jul 2025 13:24:47 GMT Content-Length: 6163 Content-Type: text/html Strict-Transport-Security: max-age=2592000 BIND 9.8.x/9.9.xにおけるDNS64の実装上のバグによるnamedのサービス停止について（2012年12月5日公開）
DNS関連技術情報のトップへ戻る
---------------------------------------------------------------------
■BIND 9.8.x/9.9.xにおけるDNS64の実装上のバグによるnamedの
  サービス停止について（2012年12月5日公開） - バージョンアップを強く推奨 -
                               株式会社日本レジストリサービス（JPRS）
                                           初版作成 2012/12/05（Wed）
---------------------------------------------------------------------
▼概要
  BIND 9.8.x/9.9.xにおけるDNS64の実装上のバグにより、namedに対する外部
  からのサービス不能（DoS）攻撃が可能となる脆弱性が、開発元のISCから発
  表されました。本脆弱性により提供者が意図しないサービスの停止が発生す
  る可能性があります。
  該当するBIND 9.8.x/9.9.xにおいてDNS64を利用しているユーザーは、関連
  情報の収集、緊急パッチの適用など、適切な対応を取ることを強く推奨しま
  す。
▼詳細
  DNS64はRFC 6147により定義される、DNSのAレコードからAAAAレコードを合
  成するための仕組みです。RFC 6146により定義されるステートフルNAT64と
  組み合わせることにより、IPv6アドレスのみを持つクライアントからIPv4ア
  ドレスのみを持つサーバーへの、ドメイン名を用いた透過的なアクセスを実
  現できます。BIND 9では9.8.0以降のバージョンで、DNS64をサポートしてい
  ます（ただし、デフォルトではDNS64は無効に設定されています）。
  BIND 9.8.x/9.9.xでは実装上のバグにより、DNS64を有効にしたnamedに対し
  特定のDNSパケットを作成、送信することでnamedが異常終了を起こす障害が
  発生します。
▽対象となるバージョン
  本脆弱性の対象となるBIND 9.8.x/9.9.xのバージョンは以下の通りです。
  ・9.8系列: 9.8.0～9.8.4
  ・9.9系列: 9.9.0～9.9.2
▽影響範囲
  ISCは、本脆弱性の深刻度（Severity）を「重大（Critical）」と評価して
  います。
  なお、namedにおいてDNS64を有効にしていない（named.confにおいて
  "dns64"ステートメントを設定していない）場合、本脆弱性の影響を受けま
  せん。また、DNS64が実装されていないBIND 9.7以前のバージョンは、本脆
  弱性の影響を受けません。
  本脆弱性については、以下の脆弱性情報（*1）も併せてご参照ください。
  （*1）CVE - CVE-2012-5688
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5688>
▼一時的な回避策
  適切なアクセスコントロールの実施により、この脆弱性による危険性を低減
  できます。ただし、この方法は根本的な問題解決とはならないことに注意が
  必要です。
▼解決策
  BIND 9.9.2-P1/9.8.4-P1へのアップグレード、または各ディストリビューショ
  ンベンダーからリリースされるパッチの適用を実施してください。
▼参考リンク
  以下に、開発元であるISCから発表されている情報へのリンクを記載します。
  また、各ディストリビューションベンダーからの情報やCVEの情報（*1）な
  どもご確認の上、適切な対応をお願いいたします。
  * ISC
    CVE-2012-5688: BIND 9 servers using DNS64 can be crashed by a crafted query
    <https://kb.isc.org/article/AA-00828>
    CVE-2012-5688 [JP]: DNS64を利用するBIND 9サーバが細工されたクエリによってクラッシュする
    <https://kb.isc.org/article/AA-00832>
    BIND 9.9.2-P1
    <https://ftp.isc.org/isc/bind9/9.9.2-P1/bind-9.9.2-P1.tar.gz>
    BIND 9.8.4-P1
    <https://ftp.isc.org/isc/bind9/9.8.4-P1/bind-9.8.4-P1.tar.gz>
▼連絡先
  本文書に関するお問い合わせは <dnstech-info@jprs.jp> までご連絡ください。
---------------------------------------------------------------------
▼更新履歴
  2011-12-05 11:00 初版作成
Original Source | Taken Source