CVE-2012-5689 [JP]: DNS64を有効にしたBIND 9がRPZの名前解決時に予期せず停止する
  • 04 Feb 2020
  • 1 Minute to read
  • Contributors
  • Dark
    Light
  • PDF

CVE-2012-5689 [JP]: DNS64を有効にしたBIND 9がRPZの名前解決時に予期せず停止する

  • Dark
    Light
  • PDF

Article Summary

ISCでは、表明違反(assertion failure)によってネームサーバを停止させ得るエラー条件について通知を受けました。この表明違反は、DNS64とResponse Policy Zones (RPZ)の両方を利用するように設定している場合のクエリ処理において発生します。
CVE:

CVE-2012-5689

文書バージョン:                2.0

公開日付:

2013年1月24日

影響を受けるプログラム:

BIND 9

影響を受けるバージョン:

9.8.0->9.8.4-P1, 9.9.0->9.9.2-P1

深刻度:

低(Low)

攻撃方法:

遠隔から可能

詳細:

DNS64を利用するように設定したネームサーバが、Response Policy Zone (RPZ)でのAレコード書き換え規則を持つレコードに対するAAAAレコードを解決しようとする際に、エラー条件が発生する可能性があります。もしRPZからクエリ名のAAAAレコードではなく書き換えられたAレコードが得られた場合、DNS64処理のコードはそのAレコードをAAAAレコードに変換しようとします。実装の不具合により、RPZデータベースとDNS64変換の間でのこのような相互作用によってnamedプロセスが表明違反で終了する場合があります。

ISCでは、RPZの書き換え規則とDNS64を(同時に)利用している実運用システムは極めて少ないと考えています。また、本問題については簡単な回避策が存在します(下記)。しかし、ISCのポリシーでは、実運用環境において発生する可能性の大小に関わらず、BIND 9におけるすべての潜在的脆弱性を公開することとしています。そこで、ISCでは、CVSSのスコアに関わらず深刻度を「低(Low)」と判断し、本不具合の修正は影響を受けるバージョンの次期ベータバージョンに統合することとしました。本問題の回避は容易であり、またそれによって本問題を完全に防ぐことができるため、セキュリティパッチバージョンをリリースする予定はありません。

DNS64とRPZを組み合せて使っている場合に本問題が偶発的に発生することを防ぐため、BIND 9の将来(2013年1月24日にリリース予定のベータバージョン以降)のバージョンでは本不具合の悪用を防ぐコードを導入します。ただし、現在DNS64をRPZと同時に利用している方にとっては、一時的な回避策(下記)で十分です。実運用環境でベータバージョンのコードを利用するよりもそちらをお勧めします。

影響:

本問題の影響を受けるのは、ネームサーバでDNS64とRPZを同時に利用するよう設定し、RPZにおいてAレコードの書き換え規則があってAAAAの書き換え規則がない場合に限られます。すなわち、(何らかの)DNSレコードをAレコードに書き換えるためにRPZを利用し、さらにそれらのAレコードをDNS64によってAAAAに変換しているシステムに限られます。RPZをNXDOMAIN、CNAME、もしくはNOERROR/NODATA (いわゆるNXRRSET)の応答を生成するためだけに利用しているシステムや、RPZでA以外のリソースレコードだけを書き換えているシステムは、本不具合を引き起こすことはありません。

CVSS スコア:   7.8

CVSS 評価基準:   (AV:N/AC:L/Au:N/C:N/I:N/A:C)

CVSS (Common Vulnerability Scoring System)についての詳細情報、および個別の環境におけるスコアの算出方法については、以下のリンクをご参照ください: http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:C)

一時的な回避策:

DNS64とRPZを同時に使用している場合には、Aレコードを書き換えるすべての規則についてAAAAレコードを書き換えるルールも持つように設定すること。DNS64を経ずにRPZから直接AAAAレコードが得られる場合には本不具合は発生しません。

攻撃事例:

知られている攻撃事例はありません。

解決策: 本問題の影響を受けるバージョンをお使いの場合、以下の二つの解決策があります。

1.一時的な回避策(上記)を適用する

2.本問題の修正を含むバージョンのリリースまで待つ

謝辞: 本不具合を報告してくださったバンドン工科大学(Institut Teknologi Bandung)のPories Ediansyah氏に感謝致します。

改訂履歴(原文):

1.0 - 2013年1月17日 事前通知フェーズ1
1.1 - 2013年1月23日 フェーズ2,3通知
2.0 - 2013年1月24日 フェーズ4通知(一般公開)

関連ドキュメント:

全セキュリティ脆弱性と影響を受けるバージョンについてはこちらの BIND Security Matrix をご参照ください。

ISCまたは製品サポートについての情報をご希望の場合はこちらをご参照ください: www.isc.org/support.

さらにご質問がある場合   本勧告に関するご質問はこちらへお送りください: security-officer@isc.org

ご注意: ISCでは、現在サポート対象のバージョンにのみパッチを提供しています: http://www.isc.org/software/bind/versions. なお、可能な場合には影響を受けるEOLバージョンも明記しています。

ISCの脆弱性公開ポリシー :   ISCのセキュリティ勧告に関する最新のポリシーおよび運用についてはこちらのリンクをご参照ください(英語): https://www.isc.org/security-vulnerability-disclosure-policy

英文の知識ベース文書 https://kb.isc.org/article/AA-00855 .

免責事項(Legal Disclaimer) :

(ご注意: この項の内容は英語の原文の参考訳です。より正確な情報が必要な場合は原文をご参照ください。また、原文と訳文の間に意味の違いがある場合は、原文の内容が正式です)

Internet
Systems Consortium (ISC)は、本勧告を「現状のまま」提供しています。本勧告ではいかなる種類の保証(warranty or

guarantee)についても述べていませんし、そうした保証を黙示してもいません。ISCは本勧告および本勧告が参照する資料に関するいかなる保証に
ついても一切責任を負わないものとします。こうした保証には、商品適合性、特定目的への適合性、隠れた瑕疵の不在、および非侵害についての黙示的保証が含
まれますが、これらに限定するものではありません。本勧告および本勧告が参照する資料のご使用は、使用者ご自身の責任においてなされるものとします。
ISCは本勧告を(将来の)任意の時点で変更する可能性があります。もし、この文書の独立した複製物や、この文書を言い換えたものに、この文書のURLが
含まれていない場合、それは「未管理の複製物」です。未管理の複製物は、重要な情報を欠いていたり、内容が古かったり、事実関係に関する誤りを含んでいたりする可能性があります。

© 2001-2018 Internet Systems Consortium
For assistance with problems and questions for which you have not been able to find an answer in our Knowledge Base, we recommend searching our community mailing list archives and/or posting your question there (you will need to register there first for your posts to be accepted). The bind-users and the dhcp-users lists particularly have a long-standing and active membership.
ISC relies on the financial support of the community to fund the development of its open source software products. If you would like to support future product evolution and maintenance as well having peace of mind knowing that our team of experts are poised to provide you with individual technical assistance whenever you call upon them, then please consider our Professional Subscription Support services - details can be found on our main website.