公開日:2012/02/09 最終更新日:2012/06/01

JVNVU#542123
複数の DNS ネームサーバの実装に問題

概要

複数の DNS ネームサーバにおけるリソースレコードの取り扱いに関する問題が公表されました。

影響を受けるシステム

影響を受ける製品は複数存在します。詳しくは各製品開発者が提供する情報および発見者の論文をご確認ください。

詳細情報

一定の条件のもとで、DNS キャッシュサーバが保持しているリソースレコードの保持期限を外部から延長させることができる問題が公表されています。

ISC の公開しているセキュリティアドバイザリ (Document Version: 2.0) では、以下のように記載されています。

"To the best of our current knowledge, the extent of the exposure for users of BIND or other affected software is this: every resource record in the Domain Name System hierarchy has a time-to-live (TTL) value associated with it, intended to control how long the information in the resource record can be kept in cache by a non-authoritative server. Dr. Duan's paper discloses a method whereby information can be prolonged in the cache beyond the period supposedly allowed by the TTL value, causing affected resolvers to potentially return incorrect answers. It does not allow arbitrary insertion, removal, or alteration of resource record data."

想定される影響

上位ドメインの権威サーバで削除されたドメイン情報が、キャッシュサーバ上では有効な情報として使用され続ける可能性があります。

対策方法

アップデートする
ISC から本問題に対応したアップデートが公開されました。
ISC が提供する情報をもとに、対策版である 9.6-ESV-R6、9.7.5、9.8.2、9.9.0 以降にアップデートしてください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
日本マイクロソフト株式会社 該当製品あり 2012/03/27
日本電気株式会社 該当製品あり 2012/05/30
ベンダ リンク
ISC Ghost Domain Names: Revoked Yet Still Resolvable

参考情報

  1. US-CERT Vulnerability Note VU#542123
    ISC BIND 9 resolver cache vulnerability
  2. JPRS
    「ghost domain names(幽霊ドメイン名)」脆弱性について

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2012.02.09における脆弱性分析結果

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 ユーザが何もしなくても脆弱性が攻撃される可能性がある
攻撃の難易度 ある程度の専門知識や運 (条件が揃う確率は高い) が必要
  • 中 - 高

各項目の詳しい説明

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2012-1033
JVN iPedia

更新履歴

2012/02/13
詳細情報を修正しました。
2012/02/17
参考情報を追加しました。
2012/03/27
日本マイクロソフト株式会社のベンダステータスが更新されました
2012/05/30
日本電気株式会社のベンダステータスが更新されました
2012/06/01
対策方法を更新しました。
2012/06/01
対策方法を修正しました。