| CARVIEW |
Select Language
HTTP/1.1 200 OK
Date: Mon, 14 Jul 2025 04:48:26 GMT
Content-Length: 6970
Content-Type: text/html
Strict-Transport-Security: max-age=2592000
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-9778)
株式会社日本レジストリサービス Copyright©2001-2025 Japan Registry Services Co., Ltd.
---------------------------------------------------------------------
■BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-9778)
- nxdomain-redirectオプションを指定している場合のみ対象、
バージョンアップを推奨 -
株式会社日本レジストリサービス(JPRS)
初版作成 2017/01/12(Thu)
---------------------------------------------------------------------
▼概要
BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービ
ス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されました。
本脆弱性により、提供者が意図しないサービスの停止が発生する可能性があ
ります。
本脆弱性はサブスクリプション版の一部、及び9.11系列が影響を受けます。
該当するBIND 9.xを利用しているユーザーは関連情報の収集やバージョンアッ
プなど、適切な対応を取ることを推奨します。
▼詳細
▽本脆弱性の概要
BIND 9.xには、名前が存在しなかった場合にNXDOMAINに替えて特定のIPアド
レス(AまたはAAAA)に対する応答を返すように設定するための機能が二つ
実装されています(*1)。一つは、BIND 9.9で実装されたRedirect zone機
能で(*2)、もう一つはBIND 9.11で実装された、より柔軟な設定が可能な
Redirect namespace機能です(*3)(*4)。
(*1)この機能は「NXDOMAIN redirection」と呼ばれています。
(*2)namedの設定ファイル(通常はnamed.conf)のzoneステートメントに
おいて「type redirect」を指定することで有効になります。
(*3)namedの設定ファイルのnxdomain-redirectオプションで指定します。
(*4)Redirect zone及びRedirect namespace機能及び設定方法の詳細につ
いては、BIND 9.11系列に付属のAdministrator Reference Manual
(ARM)を参照ください。
BIND 9.xにはRedirect namespace機能に不具合があり、nxdomain-redirect
オプションにおいて自身が権威を持つゾーンが指定されていた場合、本機能
に該当する問い合わせを処理する際にnamedが異常終了を起こす障害が発生
します(*5)。
(*5)本脆弱性によりnamedが異常終了した場合、db.cでassertion
failureを引き起こした旨のメッセージがログに出力されます。
本脆弱性により、DNSサービスの停止が発生する可能性があります。また、
本脆弱性を利用した攻撃はリモートから可能です。
▽対象となるバージョン
本脆弱性はサブスクリプション版の一部、及びBIND 9.11系列が該当します。
・9.11系列:9.11.0~9.11.0-P1
▽影響範囲
ISCは、本脆弱性の深刻度(Severity)を「高(High)」と評価しています。
本脆弱性は、namedの設定ファイルにおいてnxdomain-redirectオプションが
指定されており(*6)、かつ、同オプションにおいて自身が権威を持つゾー
ンが指定されていた場合にのみ該当します。
(*6)デフォルトでは無効に設定されています。
本脆弱性については、以下の脆弱性情報(*7)も併せてご参照ください。
(*7)CVE - CVE-2016-9778
<https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9778>
▼一時的な回避策
以下のいずれかを当該サーバーで実施することにより、本脆弱性を回避でき
ます。
・nxdomain-redirectオプションの使用をやめ、NXDOMAINを応答させる
・Redirect namespace機能に替えて、Redirect zone機能を使用する
▼解決策
本脆弱性を修正したパッチバージョン(BIND 9.11.0-P2)への更新、あるい
は各ディストリビューションベンダーからリリースされる更新の適用を、速
やかに実施してください。
▼参考リンク
以下に、ISCから発表されている情報へのリンクを記載します。また、各ディ
ストリビューションベンダーからの情報や前述のCVEの情報なども確認の上、
適切な対応を取ることを強く推奨します。
- ISC
セキュリティアドバイザリ
CVE-2016-9778: An error handling certain queries using the
nxdomain-redirect feature could cause a REQUIRE
assertion failure in db.c
<https://kb.isc.org/article/AA-01442>
パッチバージョンの入手先
BIND 9.11.0-P2
<https://ftp.isc.org/isc/bind9/9.11.0-P2/bind-9.11.0-P2.tar.gz>
▼連絡先
本文書に関するお問い合わせは <dnstech-info@jprs.jp> までご連絡ください。
---------------------------------------------------------------------
▼更新履歴
2017/01/12 11:00 初版作成
株式会社日本レジストリサービス Copyright©2001-2025 Japan Registry Services Co., Ltd.