BIND DNSサーバを終了させる悪質なDNSアップデート 2009年7月29日
BIND DNSサーバを終了させる悪質なDNSアップデート
危険度:高
2009年7月29日
【概要】
【詳細】
ドメイン・ネーム・サービス(DNS)は、人が普通に読めるようにIP アドレスを変換させるスタンダード・プロトコルだ。例えば、ウェブブ・ラウザを開きwww.watchguard.comに行く場合、ユーザのDNSサーバはウォッチガードに登録されている、インターネットでルーティング可能なIPアドレスにそれを変換させる。そしてISC BINDは、インターネットでもっともよく使われているDNSサーバ・パッケージである。
インターネット・システムズ・コンソーシアム(ISC)は、米国時間の7月28日に公開したセキュリティ・アドバイザリで、BIND DNSサーバの最近のバージョン全てに影響しているサービス拒否(DoS)の脆弱性について警告した。この欠陥は、細工された動的DNSアップデート・メッセージをBINDが処理する方法に関与している。リモート攻撃者は細工したDNSアップデート・メッセージを送信することで欠陥を悪用し、ユーザのBINDサーバを終了させ、その後のDNSクエリに応答できないようにする。これにより、ネットワーク上のユーザがドメイン名でインターネットにアクセスすることができなくなる他、顧客も企業のウェブサイトやドメインへアクセスすることができなくなる。しかし、1つ以上のDNSゾーン・マスターであるDNSサーバに対してのみ、攻撃者はこの脆弱性を悪用することができる。
ISCによれば、この脆弱性の悪用コードはすでに一般的な環境下で入手できるようになっているという。このため、BIND DNSサーバを使用している場合は至急アップグレードすることを強く勧める。
【対策】
ISCは、こうした脆弱性を修正するBINDのアップデート版をリリースしているので、できる限り早急に状況に適したアップデートをダウンロードし、テストしてから導入することをすすめる。ISC BINDはLinuxの様々なベンダー・ディストリビューションにも搭載されているので、ディストリビューション特有のパッチをベンダーが用意しているか問い合わせるのもいいだろう。
WatchGuard Fireboxユーザ:
ウォッチガードのDNSプロキシは、攻撃者がこの脆弱性を悪用することをデフォルトで阻止できる。攻撃者がこの欠陥を悪用するには、細工したnsupdate メッセージをBIND DNSサーバへ送信しなければならない。Nsupdate はRFC 2136で記述されているDNS Update opcodeを使用するようになっているが、ウォッチガードの受信用DNSプロキシー・アクションは、このDNSアップデートopcode をデフォルト設定により拒否するようになっている。また、受信用DNSプロキシ・ポリシーを使ってFireboxを設定した場合、攻撃者はユーザのBINDサーバでこの脆弱性を悪用することはできない。どちらにせよ、できる限り早急にISCのBINDアップデートをインストールすることを勧める。
【ステータス】
ISCはこのBIND問題を修正するパッチをリリースしている。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
危険度:高
2009年7月29日
【概要】
- 対象:
ISC BIND 9のバージョン全て
- 攻撃方法:
細工したDNSアップデート・メッセージを送信
- 影響:
攻撃者はユーザのBIND DNSサーバを終了させ、サービス拒否(DoS)を誘発させる
- 対策:
ISC BIND バージョン9.4.3-P3や9.5.1-P3、もしくは9.6.1-P1にアップグレードするか、ベンダーが提供しているアップグレードを至急取り入れること
【詳細】
ドメイン・ネーム・サービス(DNS)は、人が普通に読めるようにIP アドレスを変換させるスタンダード・プロトコルだ。例えば、ウェブブ・ラウザを開きwww.watchguard.comに行く場合、ユーザのDNSサーバはウォッチガードに登録されている、インターネットでルーティング可能なIPアドレスにそれを変換させる。そしてISC BINDは、インターネットでもっともよく使われているDNSサーバ・パッケージである。
インターネット・システムズ・コンソーシアム(ISC)は、米国時間の7月28日に公開したセキュリティ・アドバイザリで、BIND DNSサーバの最近のバージョン全てに影響しているサービス拒否(DoS)の脆弱性について警告した。この欠陥は、細工された動的DNSアップデート・メッセージをBINDが処理する方法に関与している。リモート攻撃者は細工したDNSアップデート・メッセージを送信することで欠陥を悪用し、ユーザのBINDサーバを終了させ、その後のDNSクエリに応答できないようにする。これにより、ネットワーク上のユーザがドメイン名でインターネットにアクセスすることができなくなる他、顧客も企業のウェブサイトやドメインへアクセスすることができなくなる。しかし、1つ以上のDNSゾーン・マスターであるDNSサーバに対してのみ、攻撃者はこの脆弱性を悪用することができる。
ISCによれば、この脆弱性の悪用コードはすでに一般的な環境下で入手できるようになっているという。このため、BIND DNSサーバを使用している場合は至急アップグレードすることを強く勧める。
【対策】
ISCは、こうした脆弱性を修正するBINDのアップデート版をリリースしているので、できる限り早急に状況に適したアップデートをダウンロードし、テストしてから導入することをすすめる。ISC BINDはLinuxの様々なベンダー・ディストリビューションにも搭載されているので、ディストリビューション特有のパッチをベンダーが用意しているか問い合わせるのもいいだろう。
WatchGuard Fireboxユーザ:
ウォッチガードのDNSプロキシは、攻撃者がこの脆弱性を悪用することをデフォルトで阻止できる。攻撃者がこの欠陥を悪用するには、細工したnsupdate メッセージをBIND DNSサーバへ送信しなければならない。Nsupdate はRFC 2136で記述されているDNS Update opcodeを使用するようになっているが、ウォッチガードの受信用DNSプロキシー・アクションは、このDNSアップデートopcode をデフォルト設定により拒否するようになっている。また、受信用DNSプロキシ・ポリシーを使ってFireboxを設定した場合、攻撃者はユーザのBINDサーバでこの脆弱性を悪用することはできない。どちらにせよ、できる限り早急にISCのBINDアップデートをインストールすることを勧める。
【ステータス】
ISCはこのBIND問題を修正するパッチをリリースしている。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。