| CARVIEW |
Select Language
HTTP/1.1 200 OK
Date: Mon, 14 Jul 2025 06:44:00 GMT
Content-Length: 6385
Content-Type: text/html
Strict-Transport-Security: max-age=2592000
BIND 9の脆弱性を利用したキャッシュポイズニング攻撃について(第3版)
株式会社日本レジストリサービス Copyright©2001-2025 Japan Registry Services Co., Ltd.
---------------------------------------------------------------------
■BIND 9の脆弱性を利用したキャッシュポイズニング攻撃について(第3版)
- パッチ適用を推奨 -
2010/01/20(Thu)
(※ 追加のパッチリリースを反映)
---------------------------------------------------------------------
▼概要
BIND 9のDNSSEC検証機能の実装にリモートからのキャッシュポイズニング攻
撃が可能になる脆弱性が発見され、開発元のISCより対応のためのパッチが
リリースされました。該当するBIND 9を利用しているユーザは関連情報の収
集やパッチの適用等、適切な対応を取ることを推奨します。
(2010年1月20日追加)
2010年1月19日付でISCよりBIND 9.6.1-P2以前のすべてのBIND 9を対象に、
同脆弱性に関する注意喚起の更新、および脆弱性修正のための追加のパッチ
がリリースされました。関係各位におかれましてはパッチの適用等、適切な
対応を速やかに取ることを重ねて推奨します。
▼詳細
BIND 9のDNSSEC検証機能の実装における脆弱性により、DO(DNSSEC OK)ビッ
トとCD(Checking Disabled)ビットの双方がセットされた特殊なDNS問い合わ
せパケットにより、当該のキャッシュDNSサーバ(named)にDNS反復検索をさ
せた場合、その応答に対し従来から存在する手法である、本来受け取るべき
ではない不適切なadditional sectionの情報を悪用した悪意のあるDNS応答
パケットを用いた、キャッシュポイズニング攻撃が可能となります。
ただし、本脆弱性の影響を受けるのは、DOビットとCDビットの双方がセット
されたDNS問い合わせに対する応答のみであり、開発元のISCにおける「深刻
度(Severity)」は「中(medium)」となっています。またISCでは「このよう
な動作のDNSクライアント・スタブリゾルバは把握していないが、BIND以外
の少なくとも一つのDNSサーバの実装においてDNSフォワード機能を使用した
場合に、今回の脆弱性に該当する」としています。
本脆弱性はDNSSEC検証機能が有効に設定されており、かつDNSキャッシュサー
バ機能(再帰検索機能)が有効に設定されているすべてのBIND 9が該当します。
なお、BIND 9.5以降のBINDではDNSSEC検証機能が標準で有効に設定されてお
り、本脆弱性の対象となりますので、十分にご注意ください。
本脆弱性の詳細についてはUS-CERTからの脆弱性情報(*1)をご参照ください。
(*1)US-CERT Vulnerability Note VU#418861
<https://www.kb.cert.org/vuls/id/418861>
(2009年12月3日追加)
2009年12月2日付でISCから、DNSSEC検証を有効にしているユーザを対象に、
本脆弱性の深刻度をmediumからSEVERE(致命的)に引き上げるという、追加の
アナウンスが発表されました。関係各位におかれましてはパッチの適用等、
適切な対応を速やかに取ることを重ねて推奨します。
▼対策
ISC、および各ディストリビューションベンダからリリースされたパッチを
適用してください。
▼脆弱性の情報・パッチリリース
以下にBIND 9の開発元であるISCから発表されているパッチ等の情報を記載
します。また、各ディストリビューションベンダからの情報やUS-CERTの情
報(*1)等もご確認の上、適切な対応をお願いいたします。
* ISC
BIND 9 Cache Update from Additional Section
https://www.isc.org/advisories/CVE-2009-4022
ISC BIND patch release
- BIND 9.6.1-P3
<https://ftp.isc.org/isc/bind9/9.6.1-P3/bind-9.6.1-P3.tar.gz>
- BIND 9.5.2-P2
<https://ftp.isc.org/isc/bind9/9.5.2-P2/bind-9.5.2-P2.tar.gz>
- BIND 9.4.3-P5
<https://ftp.isc.org/isc/bind9/9.4.3-P5/bind-9.4.3-P5.tar.gz>
---------------------------------------------------------------------
▼更新履歴
2009-11-25 17:50 初版作成
2009-12-03 18:00 脆弱性の詳細情報を更新
2010-01-20 10:30 追加のパッチリリース情報を追加、
BIND 9の各バージョン情報を更新
株式会社日本レジストリサービス Copyright©2001-2025 Japan Registry Services Co., Ltd.