CARVIEW |
Select Language
HTTP/1.1 200 OK
Date: Mon, 14 Jul 2025 04:49:11 GMT
Content-Length: 6020
Content-Type: text/html
Strict-Transport-Security: max-age=2592000
(緊急)BIND 9.7.xの脆弱性を利用したサービス不能(DoS)攻撃について
株式会社日本レジストリサービス Copyright©2001-2025 Japan Registry Services Co., Ltd.
--------------------------------------------------------------------- ■(緊急)BIND 9.7.xの脆弱性を利用したサービス不能(DoS)攻撃について - 9.7.3へのバージョンアップを強く推奨 - 2011/02/23(Wed) --------------------------------------------------------------------- ▼概要 BIND 9.7.1から9.7.2-P3までのバージョンには実装上の不具合があり、ゾー ン情報の更新に差分転送(IXFR)またはDynamic Update機能を使用している 場合、namedに対するリモートからのサービス不能(DoS)攻撃が可能になる 脆弱性が存在することが、開発元のISCより発表されました。本脆弱性は危 険度が高いため、該当する状況でBIND 9を利用しているユーザは、関連情報 の収集やバージョンアップ等、適切な対応を取ることを強く推奨します。 ▼詳細 IXFRおよびDynamic Updateは、いずれも権威DNSサーバーが管理するゾーン 情報を更新する機能です。IXFRは、プライマリ/セカンダリ間の差分ゾーン 転送に用いられるもので、RFC 1995で定義されています。Dynamic Updateは、 クライアントからの依頼により権威DNSサーバーが管理するゾーン情報を動 的に更新するための機能で、RFC 2136で定義されています。 BIND 9.7.1から9.7.2-P3までのバージョンでは実装上の不具合により、 IXFRを利用した差分ゾーン転送またはDynamic Updateを利用したゾーン情報 の更新を実施中、特定のタイミングでDNS問い合わせを受信した場合に named内部でデッドロックが発生し、それ以降のnamedのすべての処理が停止 する問題が発生します。 このため、ゾーン情報の更新にIXFRまたはDynamic Updateを使用し、かつ高 頻度のDNS問い合わせを受け付ける権威DNSサーバーや、頻繁にゾーン情報の 更新を行っている権威DNSサーバーでは、デッドロックが発生する可能性が 高まります。開発元であるISCは、本脆弱性の深刻度(Severity)を「高 (High)」と評価しています。 なお、従来のゾーン転送(AXFR)は、本脆弱性の影響を受けません。 本脆弱性の詳細については以下の脆弱性情報(*1)をご参照ください。 (*1)CVE - CVE-2011-0414 <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0414> US-CERT Vulnerability Note VU#559980 <https://www.kb.cert.org/vuls/id/559980> ▼一時的な回避策 マルチスレッド機能を無効にしてBIND 9を再構築する、または実行時オプショ ン「-n 1」を指定してワーカースレッド数を1個に設定することにより、本 脆弱性を一時的に回避することができます。しかし、マルチスレッド機能を 無効にした場合、DNSサーバーの性能が低下することに注意してください。 ▼解決策 BIND 9.7.3へのアップグレード、または各ディストリビューションベンダか らリリースされたパッチの適用を実施してください。 ▼参考リンク 以下に、BIND 9の開発元であるISCから発表されている情報へのリンクを記 載します。また、各ディストリビューションベンダからの情報やUS-CERTの 情報(*1)等もご確認の上、適切な対応をお願いいたします。 * ISC Server Lockup Upon IXFR or DDNS Update Combined with High Query Rate <https://www.isc.org/software/bind/advisories/cve-2011-0414> BIND 9.7.3 <https://ftp.isc.org/isc/bind9/9.7.3/bind-9.7.3.tar.gz> ▼追記 JPRSでは今回、本脆弱性に関する試験と分析を実施し、開発元であるISCに その結果を報告しています。 --------------------------------------------------------------------- ▼更新履歴 2011-02-23 10:30 初版作成
株式会社日本レジストリサービス Copyright©2001-2025 Japan Registry Services Co., Ltd.