JVNVU#90728793
ISC BIND 9 の Update policy 機能の説明が実際の挙動と異なっている問題
ISC BIND 9 のマニュアルでは、Update policy 機能で提供されているルール krb5-subdomain
および ms-subdomain
の説明が、実際の挙動と異なっています。
- BIND 9.11.5 より前のバージョン
- BIND 9.12.3 より前のバージョン
ISC BIND では、Dynamic DNS (DDNS) による DNS レコードのアップデートを制御するために update-policy
という機能が提供されています。クライアントから送られてくる DNS レコードのアップデートリクエストの処理を、リクエストで使用される鍵情報に基づいて制限するようなルールを設定することが可能です。
設定できるルールの種類は複数用意されていますが、実装された当初、これらのルールの挙動についてマニュアル (ARM, Administrator's Reference Manual) には記載されていませんでした。その後 change #3112 にて説明が追加されましたが、2つのルール krb5-subdomain
と ms-subdomain
の説明が実際の挙動と異なっていました。これにより、ARM の説明では許可しないはずのアップデートリクエストを受け付けてしまう可能性があります。
認証されたクライアントからのアップデートリクエストにより、DDNS によって更新されることを想定していない DNS レコードが更新される可能性があります。
例えば、以下のような "example.com" ゾーンの設定を行っている場合、
zone example.com {
...
update-policy {
grant SUB.EXAMPLE.COM krb5-subdomain . ANY;
};
};
host/machine.sub.example.com@SUB.EXAMPLE.COM
として認証されたクライアントは、"example.com
" およびそれ以下の DNS レコードを更新することが可能となります。
マニュアルでは、認証されたマシン名からなるドメイン名 "machine.sub.example.com
" およびそれ以下の DNS レコードのみ更新を許可すると説明されていました。
ワークアラウンドを実施する
- 更新を許可する範囲を独立したゾーンとして設定する。例えば、
example.com
ゾーンの一部の更新を許可するためsub.example.com
ゾーンを設定し、適切なupdate-policy
の設定を行う。
開発者によると、本件への対策を行った次のバージョンを 2018年10月中にリリース予定とのことです。
- BIND 9.11.5
- BIND 9.12.3
ベンダ | リンク |
Internet Systems Consortium | CVE-2018-5741: Update policies krb5-subdomain and ms-subdomain |
攻撃元区分(AV) | 物理 (P) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
---|---|---|---|---|
攻撃条件の複雑さ(AC) | 高 (H) | 低 (L) | ||
必要な特権レベル(PR) | 高 (H) | 低 (L) | 不要 (N) | |
ユーザ関与レベル(UI) | 要 (R) | 不要 (N) | ||
スコープ(S) | 変更なし (U) | 変更あり (C) | ||
機密性への影響(C) | なし (N) | 低 (L) | 高 (H) | |
完全性への影響(I) | なし (N) | 低 (L) | 高 (H) | |
可用性への影響(A) | なし (N) | 低 (L) | 高 (H) |
攻撃元区分(AV) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
---|---|---|---|
攻撃条件の複雑さ(AC) | 高 (H) | 中 (M) | 低 (L) |
攻撃前の認証要否(Au) | 複数 (M) | 単一 (S) | 不要 (N) |
機密性への影響(C) | なし (N) | 部分的 (P) | 全面的 (C) |
完全性への影響(I) | なし (N) | 部分的 (P) | 全面的 (C) |
可用性への影響(A) | なし (N) | 部分的 (P) | 全面的 (C) |
JPCERT 緊急報告 |
|
JPCERT REPORT |
|
CERT Advisory |
|
CPNI Advisory |
|
TRnotes |
|
CVE |
CVE-2018-5741 |
JVN iPedia |
|
- 2018/11/13
- ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
- 2019/01/28
- BizMobile株式会社のベンダステータスが更新されました