Carview!

CARVIEW
MOTORHOMES
Select Language
HTTP/1.1 200 OK Date: Mon, 14 Jul 2025 04:55:45 GMT Content-Length: 5925 Content-Type: text/html Strict-Transport-Security: max-age=2592000 BIND 9.8.0のResponse Policy Zones（RPZ）機能の脆弱性を利用したサービス不能（DoS）攻撃について
DNS関連技術情報のトップへ戻る
---------------------------------------------------------------------
■BIND 9.8.0のResponse Policy Zones（RPZ）機能の脆弱性を利用した
  サービス不能（DoS）攻撃について - パッチの適用を強く推奨 -
                                株式会社日本レジストリサービス（JPRS）
                                                    2011/05/09（Mon）
---------------------------------------------------------------------
▼概要
  BIND 9.8.0には実装上の不具合があり、Response Policy Zones（RPZ）の機
  能を有効にし、かつ当該機能によるDNS応答の取り替え（RRset replacement）
  機能を使用している場合、namedに対するリモートからのサービス不能（DoS）
  攻撃が可能になる脆弱性が存在することが、開発元のISCより発表されまし
  た。本脆弱性は危険度が高いため、該当する状況でBIND 9.8.0を利用してい
  るユーザーは、関連情報の収集やパッチの適用など、適切な対応を取ること
  を強く推奨します。
▼詳細
  RPZはBIND 9.8.0から正式導入され、キャッシュDNSサーバーがクライアント
  に返す応答内容を、当該キャッシュDNSサーバーの運用者のポリシーにより
  制御可能にする機能を提供します。RPZの技術的詳細につきましては、ISCが
  公開している以下のドキュメント（*1）などをご参照ください。
  （*1）DNS Response Policy Zones (DNS RPZ)
        <https://ftp.isc.org/isc/dnsrpz/isc-tn-2010-1.txt>
        Response Policy Zones for the (not just) Domain Name System (DNS RPZ)
        <https://www.isc.org/files/imce/2010-11-DNSRPZ.pdf>
  BIND 9.8.0では実装上の不具合により、RPZの機能を有効にし、かつ当該機
  能によるDNS応答の取り替え（RRset replacement）機能を使用している場合、
  RPZを適用した名前に対するRRSIGレコードの問い合わせを送信することによ
  り、DNSサーバーnamedをリモートから停止させることが可能となります。な
  お、開発元であるISCは、本脆弱性の深刻度（Severity）を「高（High）」
  と評価しています。
  なお、RPZ機能を使用していない、あるいはRPZ機能を「その名前は存在しな
  い（Name Error = NXDOMAIN）」エラーを返す用途以外に使用していない場
  合、本脆弱性の影響を受けません。また、RPZ機能が実装されていないBIND
  9.7.x以前のバージョンについても、本脆弱性の影響を受けません。
  本脆弱性の詳細については下記URI（*2）において公開予定の脆弱性情報も
  併せてご参照ください。
  （*2）<https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1907>
▼一時的な回避策
  RPZ機能を「その名前は存在しない」エラーを返す用途以外に使用しないよ
  うに設定変更することにより、本脆弱性を一時的に回避できます。
▼解決策
  BIND 9.8.0-P1への更新、または各ディストリビューションベンダなどから
  リリースされるパッチの適用を実施してください。
▼参考リンク
  以下に、BIND 9の開発元であるISCから発表されている情報へのリンクを記
  載します。また、各ディストリビューションベンダからの情報やCVEの情報
  （*2）等もご確認の上、適切な対応をお願いいたします。
  * ISC
    RRSIG Queries Can Trigger Server Crash When Using Response Policy Zones 
    <https://www.isc.org/software/bind/advisories/cve-2011-1907>
    BIND 9.8.0-P1
    <https://ftp.isc.org/isc/bind9/9.8.0-P1/bind-9.8.0-P1.tar.gz>
---------------------------------------------------------------------
▼更新履歴
  2011-05-09 10:00 初版作成
Original Source | Taken Source