| CARVIEW |
Select Language
HTTP/1.1 200 OK
Date: Tue, 15 Jul 2025 00:52:50 GMT
Content-Type: text/html
Strict-Transport-Security: max-age=2592000
Transfer-Encoding: chunked
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(2015年7月31日更新)
株式会社日本レジストリサービス Copyright©2001-2025 Japan Registry Services Co., Ltd.
---------------------------------------------------------------------
■(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(2015年7月31日更新)
- フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、
バージョンアップを強く推奨 -
株式会社日本レジストリサービス(JPRS)
初版作成 2015/07/29(Wed)
最終更新 2015/07/31(Fri)
(PoCが公開され、日本国内において被害事例が報告された旨を追加)
---------------------------------------------------------------------
▼概要
BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービ
ス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されました。
本脆弱性により、提供者が意図しないサービスの停止が発生する可能性があ
ります。
本脆弱性は、BIND 9.1.0以降のすべてのバージョンのBIND 9が対象となり、
かつフルリゾルバー(キャッシュDNSサーバー)及び権威DNSサーバーの双方
が対象となることから、対象が広範囲にわたっています。該当するBIND 9.x
を利用しているユーザーは関連情報の収集やパッチの適用など、適切な対応
を速やかに取ることを強く推奨します。
(2015年7月29日追加)ISCの公式ブログに、本脆弱性に関する追加情報が掲
載されました。こちらには、
・設定や利用条件に限定されず、ほぼすべてのBINDが対象となること
・ファイアーウォールで問題のパケットをスクリーニングすることは困難、
または不可能である可能性が高いこと
・本脆弱性のリバースエンジニアリングが難しくないこと
・既に、リバースエンジニアリングに成功したセキュリティ専門家から、
攻撃キットの作成成功を伝えられていること
が記述されており、速やかなパッチの適用、または修正済バージョンの入手・
更新を呼び掛けています。
(2015年7月31日追加)本脆弱性のPoC(Proof of Concept:実証コード)が
既にネット上で公開されており、日本国内のサービスプロバイダーからの被
害事例も報告されています。改めて即時の対応を強く推奨します。
▼詳細
▽本脆弱性の概要
TKEYは、DNSのトランザクションをやりとりする2台のホスト間で用いる秘密
鍵(共有鍵)を自動生成するための機能で、RFC 2930で定義されています。
BIND 9.xにはTKEYリソースレコード(RR)の取り扱いに不具合があり、
TKEY RRに対する特別に作成された問い合わせにより、namedが異常終了を起
こす障害が発生します(*1)(*2)。
(*1)本脆弱性によりnamedが異常終了した場合、"REQUIRE" assertion
failureを引き起こした旨のメッセージがログに出力されます。
(*2)TKEYの機能を使用していない場合も、本脆弱性の対象となります。
本脆弱性により、DNSサービスの停止が発生する可能性があります。また、
本脆弱性を利用した攻撃はリモートから可能です。
▽対象となるバージョン
本脆弱性は、BIND 9.1.0以降のすべてのバージョンのBIND 9が該当します。
・9.10系列:9.10.0~9.10.2-P2
・9.9系列:9.9.0~9.9.7-P1
・9.1~9.8系列:9.1.0~9.8.x
なお、ISCでは9.8以前の系列のBIND 9のサポートを終了しており、これらの
バージョンに対するセキュリティパッチはリリースしないと発表しています。
▽影響範囲
ISCは、本脆弱性の深刻度(Severity)を「重大(Critical)」と評価して
います。本脆弱性は、
・フルリゾルバー(キャッシュDNSサーバー)及び権威DNSサーバーの双方が
対象となること
・多くのバージョンのBIND 9が対象となること
・namedの設定ファイル(named.conf)によるアクセスコントロール(ACL)
や設定オプションの変更では、影響を回避・軽減できないこと
などから、広い範囲での適切な緊急対策が必要となります。
本脆弱性については、以下の脆弱性情報(*3)も併せてご参照ください。
(*3)CVE - CVE-2015-5477
<https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5477>
▼一時的な回避策
本脆弱性の一時的な回避策は存在しません。
▼解決策
本脆弱性を修正したパッチバージョン(BIND 9.10.2-P3/9.9.7-P2)への更
新、あるいは各ディストリビューションベンダーからリリースされる更新の
適用を、速やかに実施してください。
▼参考リンク
以下に、ISCから発表されている情報へのリンクを記載します。また、各ディ
ストリビューションベンダーからの情報や前述のCVEの情報なども確認の上、
適切な対応を取ることを強く推奨します。
- ISC
セキュリティアドバイザリ
CVE-2015-5477: An error in handling TKEY queries can cause named to
exit with a REQUIRE assertion failure
<https://kb.isc.org/article/AA-01272>
公式ブログ(セキュリティアドバイザリに関する追加情報)
About CVE-2015-5477
<https://www.isc.org/blogs/about-cve-2015-5477-an-error-in-handling-tkey-queries-can-cause-named-to-exit-with-a-require-assertion-failure/>
パッチバージョンの入手先
BIND 9.10.2-P3
<https://ftp.isc.org/isc/bind9/9.10.2-P3/bind-9.10.2-P3.tar.gz>
BIND 9.9.7-P2
<https://ftp.isc.org/isc/bind9/9.9.7-P2/bind-9.9.7-P2.tar.gz>
▼連絡先
本文書に関するお問い合わせは <dnstech-info@jprs.jp> までご連絡ください。
---------------------------------------------------------------------
▼更新履歴
2015/07/29 11:00 初版作成
2015/07/29 16:00 公式ブログで公開された追加情報を「概要」に反映
公式ブログのリンクを「参考リンク」に追加
2015/07/31 16:00 PoCが公開され、日本国内において被害事例が報告された
旨を追加
株式会社日本レジストリサービス Copyright©2001-2025 Japan Registry Services Co., Ltd.