公開日:2010/01/20 最終更新日:2015/10/21

JVNVU#360341
BIND 9 の DNSSEC 検証コードに脆弱性

概要

BIND 9 に含まれている DNSSEC の検証コードに脆弱性が存在します。

影響を受けるシステム

  • BIND 9.0.x
  • BIND 9.1.x
  • BIND 9.2.x
  • BIND 9.3.x
  • BIND 9.4.0 から 9.4.3-P4 まで
  • BIND 9.5.0 から 9.5.2-P1 まで
  • BIND 9.6.0 から 9.6.1-P2 まで

詳細情報

BIND 9 に含まれている DNSSEC の検証コードに脆弱性が存在します。実際に存在するレコードに対し、不正な NXDOMAIN レスポンスを返すように仕向けることが可能です。ISC によると

There was an error in the DNSSEC NSEC/NSEC3 validation code that could cause bogus NXDOMAIN responses (that is, NXDOMAIN responses for records proven by NSEC or NSEC3 to exist) to be cached as if they had validated correctly, so that future queries to the resolver would return the bogus NXDOMAIN with the AD flag set.

想定される影響

遠隔の第三者によって、不正な NXDOMAIN レコードをキャッシュに追加される可能性があります。

対策方法

パッチを適用する
影響を受けるシステムを利用している場合は、 ISC (9.4.3-P5、9.5.2-P2、9.6.1-P3) もしくは、各ベンダから提供されるパッチを適用してください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
富士通株式会社 該当製品あり 2015/10/09
ベンダ リンク
ISC BIND 9 DNSSEC validation code could cause bogus NXDOMAIN responses

参考情報

  1. US-CERT Vulnerability Note VU#360341
    BIND 9 DNSSEC validation code could cause fake NXDOMAIN responses
  2. JPRS
    BIND 9の脆弱性を利用したサービス不能(DoS)攻撃について

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2010.01.20における脆弱性分析結果

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 ユーザが何もしなくても脆弱性が攻撃される可能性がある
攻撃の難易度 専門知識や運 (条件が揃う確率は中程度) が必要
  • 低 - 中

各項目の詳しい説明

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2010-0097
JVN iPedia JVNDB-2010-001043

更新履歴

2010/02/04
富士通の JVNVU#360341への対応が更新されました。
2010/05/21
関連文書に JVN iPedia へのリンクを追加しました。
2015/10/21
富士通株式会社のベンダステータスが更新されました