脆弱性の内容
「JVNVU#93531657: ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性」より
ISC BIND 9 には、DNSSEC 検証を有効にした再帰的名前解決処理が、特定の条件下において異常終了する脆弱性が存在します。
DNSSEC 検証を有効にしたキャッシュ DNS サーバを運用している場合、遠隔の第三者によって、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。
影響度
CVSS 基本値 7.8 (AV:N/AC:L/Au:N/C:N/I:N/A:C)
| 基本評価基準 | 評価値 |
|---|---|
| 攻撃元区分(AV) | ネットワーク(N) |
| 攻撃条件の複雑さ(AC) | 低(L) |
| 攻撃前の認証要否(Au) | 不要(N) |
| 情報漏えいの可能性(機密性への影響, C) | なし(N) |
| 情報改ざんの可能性(完全性への影響, I) | なし(N) |
| 業務停止の可能性(可用性への影響, A) | 全面的(C) |
CVSS についてはデモページを参照のこと。
影響を受ける実装
- BIND 9.7.1 から 9.7.7 まで
- BIND 9.8.0 から 9.8.8 まで
- BIND 9.9.0 から 9.9.7 まで
- BIND 9.10.0 から 9.10.2-P1 まで
対策としては以下のバージョンにアップデートすればよい。
- BIND 9.9.7-P1
- BIND 9.10.2-P2
(9.8 以前の BIND 9 はサポートを終了している)
一時滝な回避策としては DNSSEC 検証機能を無効にすること(当然検証機能は機能しなくなるので注意)。ルータ等のネットワーク機器への対応については JVN のページを参考にどうぞ。