公開日:2011/02/23 最終更新日:2011/02/23

JVNVU#559980
ISC BIND にサービス運用妨害 (DoS) の脆弱性

概要

ISC BIND サーバには、IXFR 転送およびダイナミックアップデートの処理に起因するサービス運用妨害 (DoS) の脆弱性が存在します。

影響を受けるシステム

  • BIND 9.7.1 および 9.7.2
ISC によると、BIND 9.7.1, 9.7.2 より前のバージョンおよび BIND 9.8 は本脆弱性の影響を受けないとのことです。

詳細情報

権威サーバが IXFR やダイナミックアップデートの処理を行いながらクエリを受けると、デッドロックが発生しリクエストの処理が止まる可能性があります。

ISC から、以下の脆弱性情報が公開されています。

"When an authoritative server processes a successful IXFR transfer or a dynamic update, there is a small window of time during which the IXFR/update coupled with a query may cause a deadlock to occur. This deadlock will cause the server to stop processing all requests. A high query rate and/or a high update rate will increase the probability of this condition."

想定される影響

第三者によって、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。

対策方法

アップデートする
BIND 9.7.1 または 9.7.2 を使用しているユーザは、ISC が提供する情報をもとに BIND 9.7.3 にアップデートしてください。

BIND 9.7 より前のバージョンは本脆弱性の影響を受けないため、現在もサポートされている BIND 9.6.x, 9.6-ESV-Rx および 9.4-ESV-R4 はアップデートする必要はありません。
なお、BIND 9.5 はサポート終了となっています。
また、BIND 9.8 は本脆弱性の影響を受けないとのことです。

ワークアラウンドを実施する
アップデートを適用するまでの回避策として、ISC は以下の方法を紹介しています。

"Depending on your performance requirements, a work-around may be available. ISC was not able to reproduce this defect in 9.7.2 using -n 1, which causes named to use only one worker thread, thus avoiding the deadlock. If your server is powerful enough to serve your data with a single processor, this option may be fast to implement until you have time to perform an upgrade."

参考情報

  1. US-CERT Vulnerability Note VU#559980
    ISC Bind 9 IXFR or DDNS update combined with high query rate DoS vulnerability
  2. JPRS DNS関連技術情報
    (緊急)BIND 9.7.xの脆弱性を利用したサービス不能(DoS)攻撃について

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2011-0414
JVN iPedia

更新履歴

2011/02/23
参考情報を追加しました。